文章总结： 该文档分析了ThrottleStop.sys驱动漏洞（CVE-2025-7771），该高危漏洞允许通过BYOVD技术实现Windows内核权限提升。漏洞核心是驱动未验证MmMapIoSpace调用，通过IOCTL接口暴露物理内存任意读写能力。攻击者可利用此漏洞定位内核函数、转换地址、覆写内核代码获得Ring0权限，演示中展示了终止安全进程等利用方式。建议及时更新驱动版本以缓解风险。 综合评分： 85 文章分类： 漏洞分析,恶意软件,二进制安全,红队,内网渗透

ThrottleStop.sys 驱动漏洞（CVE-2025-7771）：BYOVD 技术实现 Windows Ring 0 权限提升

Ots安全

2026年6月16日 19:38 广东

在小说阅读器读本章

去阅读

威胁简报

恶意软件

漏洞攻击

——Milan0day 2026 演示详解

在 Windows 内核安全攻防领域，BYOVD（Bring Your Own Vulnerable Driver） 技术近年来已成为攻击者绕过内核保护、实现本地权限提升的重要手段。2026 年 Milan0day 大会上，安全研究员 Rossario Matteo Grammatico（zer0matt）展示了如何利用一款合法签名的驱动程序 ThrottleStop.sys（CVE-2025-7771），从用户模式（Ring 3）直接获得内核模式（Ring 0）执行权限。

漏洞核心：未验证的 MmMapIoSpace 调用

ThrottleStop.sys 是 TechPowerUp 公司开发的 ThrottleStop 工具附带的合法驱动程序，主要用于监控和解决 CPU 节流问题。该驱动被签名且被 Windows 信任，但存在严重安全缺陷：驱动程序通过两个 IOCTL 接口暴露了物理内存的任意读写能力，核心问题是它直接调用 MmMapIoSpace 函数时没有对传入的物理地址进行有效验证。这使得任何用户模式进程都能将内核物理内存映射到自身地址空间，从而实现对内核内存的直接读写。

CVE-2025-7771 的 CVSS 分数高达 8.7，被评为高危漏洞。该漏洞影响 ThrottleStop.sys 3.0.0.0 及可能的其他版本。

PoC 攻击流程详解

zer0matt 的演示 PoC 展示了完整的利用链，步骤清晰且高效：

1.定位内核函数地址

通过用户模式下可直接访问的 ntdll.dll，获取 NtAddAtom 函数的内核虚拟地址。这是一个巧妙的选择，因为 NtAddAtom 在用户态和内核态的地址关系相对容易处理。

2.虚拟地址转物理地址

将内核虚拟地址转换为对应的物理地址，为后续映射做准备。

3.通过 IOCTL 覆写内核代码

使用 IOCTL 码 0x8000649C（写操作），将 NtAddAtom 函数开头的指令替换为精心构造的 shellcode。

通过这种方式，攻击者可以在不加载任何未签名驱动的情况下，临时获得 Ring 0 执行能力。演示中进一步利用该能力调用内核函数（如 PsLookupProcessByProcessId 获取 EPROCESS 指针、PsTerminateProcess 终止 AV/EDR 进程），实现“AV Killer”效果，并在操作后恢复原始字节以规避 PatchGuard 检测。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《ThrottleStop.sys 驱动漏洞（CVE-2025-7771）：BYOVD 技术实现 Windows Ring 0 权限提升》