🔍 Contexte

Une issue a été ouverte le 8 avril 2026 sur le dépôt GitHub LOLDrivers (magicsword-io) par le chercheur @weezerOSINT, signalant la soumission d’un driver vulnérable : ASTRA64.sys, produit par EnTech Taiwan / Sysinfo Lab.

🛠️ Description technique du driver

  • Nom de fichier : ASTRA64.sys
  • Architecture : x64 (variante 32-bit également existante)
  • Signé : Oui, par EnTech Taiwan (certificat GlobalSign 2006)
  • SHA256 : 4a8b6b462c4271af4a32cf8705fa64913bfcdaefb6cf02d1e722c611d428cb16
  • Device exposé : \Device\Astra32Device{n}
  • Chargement : Fonctionne sur tout système Windows x64 sans restriction

⚠️ Vulnérabilités identifiées

Le driver expose 31 IOCTLs à l’espace utilisateur sans aucune validation de paramètres et sans restriction DACL (IoCreateDevice simple) :

  • Lecture/écriture mémoire physique arbitraire via mapping de \Device\PhysicalMemory (ZwOpenSection + ZwMapViewOfSection avec PAGE_READWRITE) — bug de troncature VA 64-bit dans la valeur de retour
  • Lecture/écriture de ports I/O arbitraires via HalTranslateBusAddress + instructions in()/out()
  • Lecture MSR arbitraire via instruction rdmsr (permet bypass KASLR via IA32_LSTAR)
  • Lecture de l’espace de configuration PCI via HalGetBusDataByOffset
  • Mapping MMIO via MmMapIoSpace

IOCTLs clés :

Code IOCTL Fonction
0x80002008 Mapping mémoire physique en usermode (R/W)
0x800020280x8000203c Lecture/écriture port I/O (1/2/4 octets)
0x80002064 Lecture configuration PCI
0x800020ec Lecture MSR (bypass KASLR)

💥 Impact

  • Lecture/écriture mémoire kernel via mapping physique
  • Bypass KASLR via lecture MSR IA32_LSTAR
  • Vol de credentials via manipulation de token
  • Contournement EDR/AV via modification de tables de callbacks
  • Énumération et configuration de périphériques PCI

📌 Type d’article

Il s’agit d’un rapport de vulnérabilité publié sur la plateforme LOLDrivers, dont le but est de documenter et référencer un driver légitime signé mais exploitable pour des attaques de type BYOVD (Bring Your Own Vulnerable Driver).

🧠 TTPs et IOCs détectés

TTP

  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)
  • T1014 — Rootkit (Defense Evasion)
  • T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)
  • T1003 — OS Credential Dumping (Credential Access)
  • T1543.003 — Create or Modify System Process: Windows Service (Persistence)

IOC

  • SHA256 : 4a8b6b462c4271af4a32cf8705fa64913bfcdaefb6cf02d1e722c611d428cb16VT · MalwareBazaar
  • Fichiers : ASTRA64.sys

Malware / Outils

  • ASTRA64.sys (tool)

🟡 Indice de vérification factuelle : 44/100 (moyenne)

  • ⬜ github.com — source non référencée (0pts)
  • ✅ 2302 chars — texte partiel (fulltext extrait) (13pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ 0/1 IOCs confirmés externellement (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://github.com/magicsword-io/LOLDrivers/issues/294