CyberVeille.chđą Pilote Windows malveillant : Ă©lĂ©vation de privilĂšges (CVSS 8.8) via IOCTL, manipulation du registre et lecture disque
đ Selon une analyse publiĂ©e sur zeifan.my, un pilote Windows malveillant prĂ©sente une vulnĂ©rabilitĂ© dâĂ©...
đ cyberveille : https://cyberveille.ch/posts/2025-08-10-pilote-windows-malveillant-elevation-de-privileges-cvss-8-8-via-ioctl-manipulation-du-registre-et-lecture-disque/
đ source : https://zeifan.my/Ampa-Driver-Analysis/
#IOCTL #Persistance #Cyberveille
đ Selon une analyse publiĂ©e sur zeifan.my, un pilote Windows malveillant prĂ©sente une vulnĂ©rabilitĂ© dâĂ©...
đ cyberveille : https://cyberveille.ch/posts/2025-08-10-pilote-windows-malveillant-elevation-de-privileges-cvss-8-8-via-ioctl-manipulation-du-registre-et-lecture-disque/
đ source : https://zeifan.my/Ampa-Driver-Analysis/
#IOCTL #Persistance #Cyberveille
Pilote Windows malveillant : élévation de privilÚges (CVSS 8.8) via IOCTL, manipulation du registre et lecture disque
Selon une analyse publiĂ©e sur zeifan.my, un pilote Windows malveillant prĂ©sente une vulnĂ©rabilitĂ© dâĂ©lĂ©vation de privilĂšges de sĂ©vĂ©ritĂ© Ă©levĂ©e (CVSS 8.8), avec des capacitĂ©s de manipulation du registre et dâaccĂšs disque brut. LâĂ©tude dĂ©crit trois interfaces de pĂ©riphĂ©rique exposĂ©es par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie Ă des actions critiques. Les vulnĂ©rabilitĂ©s clĂ©s incluent la suppression arbitraire de clĂ©s de registre HKLM, la modification de lâentrĂ©e BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrĂŽles de sĂ©curitĂ©.
alip
Zach "earboxer" DeCook
ITSEC News