CVE-2025-68947

1 minute de lecture

Mis à jour : February 12, 2026

Vulnérabilité critique dans le pilote NSecKrnl de NSecsoft

Une faille de sécurité a été identifiée dans le pilote NSecKrnl de NSecsoft, portant le code CVE-2025-68947. Cette vulnérabilité permet à un attaquant local, disposant déjà d’une authentification sur le système, de forcer la terminaison de processus appartenant à d’autres utilisateurs, y compris ceux exécutés avec les privilèges SYSTEM ou considérés comme des processus protégés.

Le mécanisme d’exploitation repose sur l’envoi de requêtes I/O Control (IOCTL) spécialement conçues au pilote. La cause profonde de cette faiblesse est classifiée sous le CWE-862 (Absence d’autorisation), signifiant que le pilote ne vérifie pas correctement si la demande de terminaison de processus est autorisée.

Cette faille ouvre une surface d’attaque de type “Bring Your Own Vulnerable Driver” (BYOVD), qui peut être exploitée par des acteurs malveillants. L’objectif est de désactiver des solutions de sécurité sur les points d’extrémité (endpoint security) et d’autres processus système essentiels. L’utilisation de cette vulnérabilité a déjà été observée, notamment par le ransomware Black Basta.

Points clés :

Type de vulnérabilité : Escalade de privilèges et terminaison de processus non autorisée.
Logiciel affecté : Pilote NSecKrnl de NSecsoft.
Type d’attaquant : Local, authentifié.
Mécanisme d’exploitation : Requêtes IOCTL spécialement conçues.
Impact : Terminaison de processus d’autres utilisateurs, y compris ceux avec des privilèges SYSTEM ou protégés.
Contexte d’attaque : “Bring Your Own Vulnerable Driver” (BYOVD), permettant de contourner les défenses de sécurité.
Utilisation observée : Exploité par le ransomware Black Basta.

Vulnérabilités :

CVE-2025-68947
CWE-862 (Missing Authorization)

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes, les actions suivantes sont implicitement suggérées :

Mise à jour du pilote : Il est impératif de rechercher et d’appliquer toute mise à jour ou correctif publié par NSecsoft pour le pilote NSecKrnl afin de corriger cette vulnérabilité.
Surveillance des processus : Mettre en place une surveillance accrue des processus et des événements système pour détecter toute terminaison anormale ou suspecte.
Analyse de sécurité : Examiner l’utilisation potentielle de pilotes vulnérables dans l’environnement pour identifier et atténuer les risques BYOVD.
Renforcement des contrôles d’accès : S’assurer que les privilèges d’accès sont correctement gérés et limités aux nécessités strictes.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68947

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)