Windows 核心驱动程序中一个近期已修复的漏洞,可能允许本地攻击者以最高系统权限执行代码,进而完全控制目标设备。
该漏洞编号为 CVE-2025-53149,是在 “内核流处理 WOW 转换服务驱动程序(ksthunk.sys)” 中发现的基于堆的缓冲区溢出漏洞。微软已在 2025 年 8 月 12 日发布的安全更新中修复了此问题。
该漏洞由安全研究人员在内部分析过程中偶然发现。研究人员通过 “负责任的漏洞披露” 流程将其报告给微软,随后微软开发并发布了对应的修复补丁。
受影响的组件 ksthunk.sys 是 64 位 Windows 系统中保障向后兼容性的关键驱动程序。
其主要功能是充当 “转换层(thunk layer)”—— 一段用于在不同系统架构间转换请求的小型代码。具体而言,它负责衔接 32 位用户模式应用程序与 64 位内核模式驱动程序,而这些 64 位内核模式驱动程序用于管理音频和视频的实时数据流。
该驱动程序属于更广泛的 “内核流处理(Kernel Streaming,KS)框架” 的一部分,这是 Windows 系统中用于处理高性能、低延迟多媒体数据的基础技术。
通过允许旧版 32 位软件与现代 64 位内核组件交互,KS 转换层(KSThunk)确保了遗留应用程序仍能正常运行。但这一复杂的转换过程中,恰好存在上述安全漏洞。
该漏洞存在于 ksthunk.sys 驱动程序的 CKSAutomationThunk::HandleArrayProperty() 函数中(SHA-1 哈希值:68B5B527550731DD657BF8F1E8FA31E895A7F176)。
攻击者可通过 32 位应用程序向使用 “内核流处理接口(Kernel Streaming interface)” 的设备发送特制请求,从而触发该漏洞。
该漏洞的核心问题在于,驱动程序处理 “获取设备特定属性(如 KSPROPSETID_VPConfig)请求” 的方式存在缺陷。存在漏洞的代码路径会先调用一个函数,确定需要返回的数据大小,随后准备将这些数据复制到用户模式应用程序提供的输出缓冲区中。
关键缺陷在于缺少验证步骤:该函数仅检查提供的输出缓冲区是否非空,却未验证缓冲区的实际大小是否足以容纳即将从设备接收的数据。
因此,当驱动程序执行数据复制操作时,可能会超出已分配缓冲区的边界写入数据。这一行为会导致内核 “非分页池(non-paged pool)”(一个关键内存区域)中出现基于堆的缓冲区溢出。
成功利用该漏洞后,攻击者可破坏内核内存,并以内核级权限执行任意代码。
要触发该漏洞,攻击者需在目标系统上运行代码,并发起特定的 DeviceIoControl 调用。但存在一个重要前提:目标系统必须安装了支持存在漏洞属性集(KSPROPSETID_VPConfig 或 KSPROPSETID_VPVBIConfig)的硬件设备。
尽管研究人员在其测试系统中未发现此类设备,但对于已安装该类设备的系统,该漏洞仍构成威胁。
微软已在 ksthunk.sys 驱动程序的修复版本中修正了此漏洞。更新后的驱动程序新增了必要的大小检查,确保在执行复制操作前,输出缓冲区的容量足够容纳数据;若缓冲区过小,将安全终止该操作。
强烈建议用户和管理员安装最新的 Windows 安全更新,以保护系统免受 CVE-2025-53149 及其他威胁的影响。
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
