CVE-2025-68947
Mis à jour :
Détournement de processus via une faille NSecKrnl
Une vulnérabilité (CVE-2025-68947) a été découverte dans le pilote NSecKrnl de NSecsoft pour Windows. Cette faille permet à un attaquant local, disposant d’identifiants valides, de mettre fin à des processus appartenant à d’autres utilisateurs, y compris ceux s’exécutant en tant que SYSTEM ou marqués comme Protected Processes. L’exploitation s’effectue par l’envoi de requêtes IOCTL (Input/Output Control) spécialement conçues au pilote.
Points Clés :
- Nature de la faille : Vulnérabilité dans un pilote Windows (NSecKrnl).
- Impact : Permet à un attaquant local d’arrêter n’importe quel processus système ou utilisateur.
- Méthode d’exploitation : Envoi de requêtes IOCTL malveillantes au pilote.
- Type d’attaque : “Bring Your Own Vulnerable Driver” (BYOVD), visant à désactiver les solutions de sécurité et les processus critiques.
- Utilisation observée : Le ransomware Black Basta a été identifié comme utilisant cette vulnérabilité.
Vulnérabilité :
- CVE-2025-68947
- CWE-862 (Missing Authorization) : Le pilote NSecKrnl ne valide pas correctement les autorisations nécessaires pour les requêtes de terminaison de processus.
Recommandations :
- Appliquer les correctifs de sécurité dès qu’ils sont disponibles pour le pilote NSecKrnl.
- Mettre en place des mesures de surveillance pour détecter les requêtes IOCTL suspectes dirigées vers le pilote NSecKrnl.
- Renforcer les politiques d’autorisation et de contrôle d’accès pour limiter les privilèges des utilisateurs locaux.
- Utiliser des solutions de sécurité avancées capables de détecter et de prévenir les attaques de type BYOVD.