CVE-2025-68947

Détournement de Processus dans le Pilote NSecKrnl de NSecsoft

Une faille critique a été identifiée dans le pilote Windows NSecKrnl développé par NSecsoft, portant le code CVE-2025-68947. Cette vulnérabilité permet à un acteur local, disposant d’authentification sur le système, de forcer la terminaison de n’importe quel processus. Cela inclut les processus s’exécutant avec les privilèges les plus élevés (SYSTEM) ou ceux désignés comme “Protected Processes”. L’exploitation de cette faille repose sur l’envoi de requêtes d’entrées/sorties contrôlées (IOCTL) spécifiquement conçues au pilote.

Points Clés :

• Nature de la Vulnérabilité : Une faiblesse dans la gestion des autorisations du pilote NSecKrnl.
• Attaque Possible : Terminaison arbitraire de processus.
• Acteur : Local et authentifié.
• Impact Potentiel : Désactivation de solutions de sécurité et arrêt de services critiques.
• Technique d’Exploitation : Requêtes IOCTL malveillantes adressées au pilote.

Vulnérabilités :

• CVE-2025-68947 : Faille dans le pilote NSecKrnl de NSecsoft.
• CWE-862 (Missing Authorization) : Le pilote ne valide pas correctement les autorisations des requêtes de terminaison de processus.

Recommandations :

• Mise à Jour du Pilote : Il est impératif de mettre à jour le pilote NSecKrnl vers une version corrigée, une fois disponible, pour combler cette faille.
• Surveillance des Actifs : Les organisations doivent être vigilantes quant à l’utilisation potentielle de ce type de vulnérabilité, notamment dans le cadre d’attaques de type “Bring Your Own Vulnerable Driver” (BYOVD).
• Politiques de Sécurité Renforcées : Examiner et renforcer les politiques de sécurité pour limiter les privilèges des utilisateurs et surveiller les tentatives d’exploitation de failles de pilotes.
• Analyse des Menaces : Tenir compte de l’utilisation de cette vulnérabilité par des acteurs malveillants, tels que les groupes de ransomware comme Black Basta, dans les analyses des menaces.

Source