Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2025-68947

1 minute de lecture

Mis à jour :

Failles et Stratégies face à la Vulnérabilité du Pilote NSecKrnl

Une vulnérabilité critique a été identifiée dans le pilote Windows NSecKrnl de NSecsoft, référencée sous la désignation CVE-2025-68947. Cette faille, classifiée comme CWE-862 (Autorisation manquante), permet à un attaquant local et authentifié de mettre fin à des processus appartenant à d’autres utilisateurs, y compris ceux exécutés avec des privilèges SYSTEM ou marqués comme Processus Protégés. L’exploitation se fait par l’envoi de requêtes IOCTL spécialement conçues au pilote.

Cette vulnérabilité ouvre une voie d’attaque de type “Bring Your Own Vulnerable Driver” (BYOVD), permettant aux acteurs malveillants de désactiver les solutions de sécurité des points d’extrémité et d’autres processus système essentiels. Le groupe de rançongiciel Black Basta a déjà été observé exploitant cette faille.

Points Clés :

  • Vecteur d’attaque : Exploitation locale par un attaquant authentifié.
  • Impact : Terminaison de processus, y compris ceux avec des privilèges élevés (SYSTEM) et des processus protégés.
  • Mécanisme : Requêtes IOCTL spécialement conçues adressées au pilote NSecKrnl.
  • Catégorie de faiblesse : CWE-862 (Autorisation manquante).
  • Scénario d’usage malveillant : Facilitation d’attaques BYOVD pour neutraliser les défenses de sécurité.
  • Exemple d’utilisation : Signalé dans des attaques par le rançongiciel Black Basta.

Vulnérabilités :

  • CVE-2025-68947 : Vulnérabilité dans le pilote NSecKrnl de NSecsoft permettant la terminaison de processus non autorisée.
  • CWE-862 : Autorisation manquante dans la validation des requêtes de terminaison de processus par le pilote.

Recommandations :

Bien que l’article ne fournisse pas de recommandations directes, il est implicite que les actions suivantes devraient être envisagées :

  • Mise à jour du pilote : Appliquer les correctifs de sécurité dès qu’ils sont disponibles de la part de NSecsoft pour le pilote NSecKrnl.
  • Surveillance des processus : Renforcer la surveillance des tentatives de terminaison de processus suspects ou non autorisés, en particulier ceux liés aux processus de sécurité.
  • Gestion des accès : Examiner et restreindre les privilèges d’accès des utilisateurs locaux, même s’ils sont authentifiés, pour limiter l’impact potentiel d’une compromission.
  • Analyse des menaces : Être vigilant face aux tactiques BYOVD et aux indicateurs de compromission associés à des groupes comme Black Basta.

Source

Vous pourriez aimer