安全研究人员近日详细披露了 CVE-2025-8061,这是一个存在于联想签名驱动程序 LnvMSRIO.sys 中的严重漏洞。披露报告阐述了攻击者如何利用该缺陷,从用户模式权限一路攻破至 Ring 0 内核控制权。
该研究成果由 sibouzitoun.tech 团队发布。他们指出,该漏洞是“自带易受攻击驱动程序”(BYOVD)攻击面的典型案例。通过利用合法的签名驱动程序,攻击者可以绕过 Windows 的标准安全检查,从而避开系统对未签名恶意代码加载的拦截。
从概念验证到内核植入
研究人员通过一个四部曲系列详细记录了该漏洞的演变过程。攻击流程始于对驱动程序的逆向工程,以提取任意读写原语。这些工具使攻击者能够攻破内核地址空间布局随机化(kASLR)并窃取 SYSTEM 令牌,进而获得对机器的完全管理控制权。
在研究的第二阶段,团队重点提升了该漏洞在真实场景下的可用性。他们移除了硬编码偏移量,转而采用动态 ROP 小工具扫描技术。此外,他们还开发了利用自定义汇编代码绕过管理模式访问保护(SMAP)的方法。
研究的最后阶段展示了如何实现持久化并逃避检测。通过直接内核对象操作(DKOM),攻击者可以将自身进程彻底隐藏在操作系统之外。研究人员还详细说明了如何屏蔽代码完整性(DSE)以及如何绕过旨在防止内核级篡改的 Windows 安全功能——PatchGuard。
研究人员认为,记录这些技术对于防御工程至关重要。团队在报告中指出:“了解攻击者如何串联这些原语,是构建弹性防御体系的第一步。”
该项目的存储库包含了完整的 C++ 源代码和易受攻击的驱动程序,旨在供安全专业人员研究漏洞的攻击机制。作者表示,他们的工作受到了 Quarkslab 先前关于 BYOVD 攻击向量研究的启发。
通过摒弃传统的驱动程序加载流程并挂钩系统调用,研究人员证明了标准的内核防御机制是可以被绕过的。所提供的代码旨在帮助安全团队测试其系统,以应对这些高级的权限提升技术。
