CVE-2025-68947

Impact du pilote NSecKrnl : Cessation de processus autorisée localement

Une faille de sécurité, identifiée sous la référence CVE-2025-68947, a été découverte dans le pilote NSecKrnl de NSecsoft pour Windows. Cette vulnérabilité permet à un attaquant local, disposant d’une authentification, de forcer l’arrêt de processus appartenant à d’autres utilisateurs. Ces processus peuvent inclure ceux exécutés avec les privilèges SYSTEM ou désignés comme “Protected Processes” (processus protégés). L’exploitation de cette faille s’effectue en envoyant des requêtes de contrôle d’entrée/sortie (IOCTL) spécialement conçues au pilote.

Points Clés :

• Nature de la faille : Le pilote NSecKrnl manque de validation d’autorisation pour les requêtes de terminaison de processus.
• Attaque facilitée : La vulnérabilité crée une opportunité pour les attaques de type “Bring Your Own Vulnerable Driver” (BYOVD).
• Conséquences : Permet le contournement et la désactivation des solutions de sécurité d’endpoint et d’autres processus critiques du système.
• Exemple d’utilisation : Le rançongiciel Black Basta a été observé exploitant cette faille.

Vulnérabilités :

• CVE-2025-68947
• CWE-862 : Manque d’autorisation (Failure to properly validate authorization of requests to terminate processes).

Recommandations :

Bien que l’article ne fournisse pas explicitement de recommandations directes, l’existence de cette faille implique la nécessité impérative de :

• Mettre à jour le pilote NSecKrnl avec la dernière version disponible, corrigeant ainsi la vulnérabilité.
• Surveiller activement les systèmes pour détecter des tentatives d’exploitation de cette faille, notamment via des requêtes IOCTL suspectes.
• Appliquer des mesures de sécurité renforcées pour prévenir les accès locaux non autorisés aux systèmes.

Source