Impatto Sistemico

Alto (72.82)

Sintesi

Disponibili Proof of Concept (PoC) per 3 vulnerabilità con gravità “alta” presenti nei prodotti Backupper, Partition Assistant Standard e Dynamic Disk Manager della suite AOMEI. Tali vulnerabilità risiedono nei relativi driver del kernel e potrebbero consentire l’alterazione dei dati e l’elevazione dei privilegi utente fino a livello SYSTEM da parte di un attaccante locale.

Tipologia

• Elevation of Privilege
• Data Manipulation

Descrizione e potenziali impatti

Disponibili Proof of Concept (PoC) per 3 vulnerabilità con gravità “alta” presenti nei prodotti Backupper, Partition Assistant Standard e Dynamic Disk Manager della suite AOMEI.

Le vulnerabilità, identificate tramite le CVE-2026-12778 , CVE-2026-12779 e CVE-2026-12780 – di tipo “ Improper Access Control ” e con score CVSS v3.1 pari a 7.8 – interessano rispettivamente i driver del kernel associati ampa10.sys , ddmdrv.sys e amwrtdrv.sys e sono dovute all’assenza di adeguati meccanismi di sicurezza (ACL restrittive o configurazioni di sicurezza come FILE_DEVICE_SECURE_OPEN). Nel dettaglio un attaccante locale con privilegi limitati, potrebbe inviare richieste I/O ( raw disk read/write ) opportunamente predisposte alle interfacce esposte dai suddetti driver, eludendo così i controlli nativi del sistema operativo sull’accesso diretto ai dischi fisici (\\.\PhysicalDriveN), al fine di ottenere l’accesso in lettura/scrittura ai cluster NTFS raw. Tale comportamento potrebbe portare alla manipolazione di file protetti, con conseguente elevazione dei privilegi utente a livello SYSTEM e possibilità di esecuzione di codice arbitrario sui sistemi interessati.

Prodotti e/o versioni affette

AOMEI

• Partition Assistant Standard, versione 10.10.1 e precedenti
• Dynamic Disk Manager, versione 10.10.1 e precedenti
• Backupper, versione 8.3.0 e precedenti

Azioni di mitigazione

In attesa del rilascio di una patch ufficiale da parte del vendor, si raccomanda di monitorare il caricamento dei driver vulnerabili (ampa10.sys, ddmdrv.sys, amwrtdrv.sys) e, ove supportato da EDR o telemetria kernel, rilevare accessi anomali ai relativi device object ( \\.\wowrt , \\.\ddmwrt , \\.\amwrtdrv ) e l’invio di richieste IOCTL da parte di processi non autorizzati o inattesi.