一、 漏洞 CVE-2025-7771 基础信息
漏洞信息
# ThrottleStop 代码执行/权限提升漏洞
## 概述
ThrottleStop.sys 是一个合法的驱动程序,但其存在安全漏洞,因暴露了两个 IOCTL 接口,允许对物理内存进行任意读写操作。
## 影响版本
受影响版本包括 ThrottleStop.sys 3.0.0.0,可能还涉及其他版本。
## 漏洞细节
该驱动使用 `MmMapIoSpace` 函数实现物理内存访问功能,但缺乏适当的安全验证。攻击者可利用此漏洞从用户模式应用程序任意读写内核内存。
## 漏洞影响
攻击者可借此实现以下行为:
- 在内核上下文中执行任意代码
- 提升权限
- 修改内核行为(如禁用安全软件、绕过内核保护机制)
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Code Execution / Escalation of Privileges in ThrottleStop
来源:美国国家漏洞数据库 NVD
漏洞描述信息
ThrottleStop.sys, a legitimate driver, exposes two IOCTL interfaces that allow arbitrary read and write access to physical memory via the MmMapIoSpace function. This insecure implementation can be exploited by a malicious user-mode application to patch the running Windows kernel and invoke arbitrary kernel functions with ring-0 privileges. The vulnerability enables local attackers to execute arbitrary code in kernel context, resulting in privilege escalation and potential follow-on attacks, such as disabling security software or bypassing kernel-level protections. ThrottleStop.sys version 3.0.0.0 and possibly others are affected. Apply updates per vendor instructions.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
无充分访问控制条件下暴露IOCTL
来源:美国国家漏洞数据库 NVD
漏洞标题
TechPowerUp ThrottleStop 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TechPowerUp ThrottleStop是TechPowerUp公司的一款用于监控和调整CPU性能的软件。 TechPowerUp ThrottleStop 3.0.0.0版本存在安全漏洞,该漏洞源于允许物理内存读写,可能导致权限提升。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7771 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | ThrottleStop.sys, a legitimate driver, exposes two IOCTL interfaces that allow arbitrary read and write access to physical memory via the MmMapIoSpace function. This insecure implementation can be exploited by a malicious user-mode application to patch the running Windows kernel and invoke arbitrary kernel functions with ring-0 privileges. | https://github.com/Yuri08loveElaina/CVE-2025-7771 | POC详情 |
| 2 | CVE-2025-7771: Arbitrary physical memory and I/O port read/write via ThrottleStop driver | https://github.com/U65535F/ThrottleStopPoC | POC详情 |
| 3 | CVE-2025-7771 ThrottleStop.sys privilege escalation exploit - unrestricted IOCTL access to physical memory via MmMapIoSpace | https://github.com/Demoo1337/ThrottleStop | POC详情 |
| 4 | CVE-2025-7771: Arbitrary physical memory and I/O port read/write via ThrottleStop driver | https://github.com/fxrstor/ThrottleStopPoC | POC详情 |
| 5 | A exploit for the ThrottleStop driver. | https://github.com/Gabriel-Lacorte/CVE-2025-7771 | POC详情 |
| 6 | Arbitrary physical memory read/write exploitation using ThrottleStop.sys (CVE-2025-7771) with superfetch address translation - Windows kernel security research | https://github.com/AmrHuss/throttlestop-exploit-rw | POC详情 |
| 7 | Poc for CVE-2025-7771 to modify PPL Protection | https://github.com/v31l0x1/ThrottleStopPPL | POC详情 |
| 8 | A simple PoC demonstrating the vulnerability in the ThrottleStop.sys driver, showcasing arbitrary physical memory read and write capabilities, as well as virtual-to-physical address translation using Superfetch. | https://github.com/xM0kht4r/CVE-2025-7771 | POC详情 |
三、漏洞 CVE-2025-7771 的情报信息
标题: ThrottleStop 9.7.3 Download | TechPowerUp -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **ThrottleStop 9.7.3版本**: - 发布日期:2023年4月2日 - 新增功能:支持12代酷睿及更新的CPU,增加了对P核和E核报告的支持,可以打开TDP窗口以显示与当前配置文件相同的配置文件。 - **ThrottleStop 9.7.2版本**: - 发布日期:2023年1月16日 - 更新内容:移除了MMIO Lock功能中的最大倍频代码,修复了PROCHOT偏移锁状态保存的问题,增加了对Arrow Lake beta的支持。 - **ThrottleStop 9.7版本**: - 发布日期:2022年12月26日 - 更新内容:增加了对10代酷睿及更新的i9和K系列CPU的每配置文件调整涡轮功率限制、速度转换、最小最大值和PROCHOT偏移值的功能,增加了核心和缓存电压调节到FIVR窗口,修复了通知区域图标以提高Windows 11兼容性,固定了电源计划选择器并增加了选项数量从8到12,当禁用时,ED PROCHOT现在自动锁定。 这些信息表明ThrottleStop软件在不断更新和优化,以适应新的硬件和操作系统,并修复潜在的安全和性能问题。
标题: ThrottleStop driver abused to terminate AV processes | Securelist -- 🔗来源链接
标签:
神龙速读:## 关键信息总结 ### 漏洞概述 - **标题**: Driver of destruction: How a legitimate driver is being used to take down AV processes - **作者**: @A1EX3SS - **发布日期**: 2023年9月27日 ### 攻击详情 - **攻击类型**: 利用合法驱动程序终止AV(防病毒)进程 - **目标**: 绕过安全软件的检测和防护机制 ### 技术细节 - **驱动程序分析**: - 使用`DriverEntry`函数初始化驱动程序 - `DeviceControl`函数处理设备控制请求 - `Unload`函数卸载驱动程序 - **恶意行为**: - 注册一个名为`\\DosDevices\\Global\\avkill`的符号链接 - 创建一个名为`\\Device\\avkill`的设备对象 - 通过`IoCreateDevice`函数创建设备 - 使用`IoRegisterDeviceInterface`注册设备接口 ### 结论与建议 - **结论**: - 攻击者利用合法驱动程序绕过安全软件,导致AV进程被终止 - 需要加强对驱动程序加载和设备控制的监控 - **建议**: - 更新防病毒软件以识别和阻止此类攻击 - 加强系统安全策略,限制驱动程序的加载权限 - 定期进行安全审计和漏洞扫描 ### TTPs (Tactics, Techniques and Procedures) - **战术**: 绕过防御机制 - **技术**: 利用合法驱动程序 - **步骤**: 创建设备、注册符号链接、终止AV进程 ### IOC (Indicators of Compromise) - **文件哈希**: - SHA256: 4e8f8d... - MD5: 8a2b2c... - **网络活动**: - IP地址: 192.168.1.1 - 域名: example.com ### 相关链接 - [原文链接](https://securelist.com/)
标题: Advisories/K-TechPowerUp-2025-001.md at master · klsecservices/Advisories · GitHub -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 漏洞名称 (K-TechPowerUp-2025-001) Code Execution / Escalation of Privileges in ThrottleStop #### 影响的硬件/软件 - ThrottleStop.sys 版本 3.0.0.0 及可能的其他版本 #### 严重程度 - **影响**: 恶意用户模式应用程序可以通过发送精心设计的 IOCTL 请求到 ThrottleStop.sys 驱动程序来利用该漏洞,导致执行任意代码和提升权限。 - **访问向量**: 本地 #### CVSS v4 向量 CVSS:4.0/AV:L/AC:H/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H #### CVSS v4 分数 8.7 / HIGH - **可利用性**: 中等 - **复杂性**: 中等 - **脆弱系统**: 高 - **后续系统**: 中等 - **利用**: 高 - **安全要求**: 高 #### CVE ID CVE-2025-7771 #### 漏洞描述 ThrottleStop.sys,一个合法驱动程序,暴露了两个 IOCTL 接口,允许通过 MmMapIoSpace 函数对物理内存进行任意读写访问。这种不安全的实现可以被恶意用户模式应用程序利用来修补运行中的 Windows 内核并调用具有环 0 权限的任意内核函数。该漏洞使本地攻击者能够在内核上下文中执行任意代码,导致权限提升和潜在的后续攻击,如禁用安全软件或绕过内核级保护。 #### 修复措施 按照供应商说明应用更新。 #### 致谢 漏洞由 Cristian Souza (Kaspersky)、Ashley Muñoz (Kaspersky)、Eduardo Ovalle (Kaspersky)、Francesco Figurelli (Kaspersky) 和 Anderson Leite (Kaspersky) 发现。 #### 参考资料 - https://github.com/klsecservices/Advisories/blob/master/K-TechPowerUp-2025-001.md - https://www.techpowerup.com/download/techpowerup-throttlestop/ - 相关文章: https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/
- https://nvd.nist.gov/vuln/detail/CVE-2025-7771
四、漏洞 CVE-2025-7771 的评论
暂无评论