CVE-2025-68947
Mis à jour :
Exploitation d’une vulnérabilité dans le pilote NSecKrnl de NSecsoft
Une faille de sécurité découverte dans le pilote NSecKrnl de NSecsoft, référencée CVE-2025-68947, permet à un attaquant local authentifié de mettre fin à des processus, y compris ceux s’exécutant avec des privilèges SYSTEM ou marqués comme Protected Processes. Cette action est rendue possible par l’envoi de requêtes IOCTL spécialement conçues au pilote.
Points Clés :
- Nature de la vulnérabilité : Autorisation manquante (CWE-862). Le pilote ne valide pas correctement les autorisations pour la terminaison de processus.
- Impact : Un attaquant local peut cibler et arrêter des processus système ou appartenant à d’autres utilisateurs.
- Scénario d’attaque : Elle s’inscrit dans le cadre des attaques “Bring Your Own Vulnerable Driver” (BYOVD), permettant de contourner les solutions de sécurité.
- Utilisation observée : Le groupe de ransomware Black Basta a exploité cette vulnérabilité.
Vulnérabilités :
- CVE-2025-68947
- CWE-862 : Missing Authorization
Recommandations :
Les informations fournies ne détaillent pas les recommandations spécifiques pour remédier à cette vulnérabilité. Cependant, il est implicite que la mise à jour ou la correction du pilote NSecKrnl par NSecsoft est nécessaire pour résoudre le problème d’autorisation manquée. Les utilisateurs devraient rechercher des correctifs fournis par NSecsoft pour ce pilote.