CVE-2025-68947

Vulnérabilité dans le pilote NSecKrnl : Risque de terminaison de processus

Une faille de sécurité, identifiée sous la référence CVE-2025-68947, a été découverte dans le pilote Windows NSecKrnl développé par NSecsoft. Cette vulnérabilité permet à un attaquant local et authentifié de terminer n’importe quel processus, y compris ceux fonctionnant avec des privilèges SYSTEM ou désignés comme processus protégés. L’exploitation se fait en envoyant des requêtes de contrôle d’entrée/sortie (IOCTL) spécialement conçues au pilote.

Points Clés :

• Nature de la faille : Il s’agit d’une vulnérabilité de type “Bring Your Own Vulnerable Driver” (BYOVD).
• Impact : Permet la terminaison de processus non autorisée.
• Victimes potentielles : Tous les processus système, y compris ceux de sécurité et les processus protégés.
• Mode d’exploitation : Exploitation via des requêtes IOCTL malveillantes adressées au pilote.

Vulnérabilités :

• CVE-2025-68947
• CWE-862 : Absence d’autorisation (le pilote ne valide pas correctement les autorisations pour la terminaison de processus).

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques, les implications de cette faille suggèrent plusieurs actions :

• Mise à jour du pilote : NSecsoft devrait publier une mise à jour pour corriger la validation des autorisations dans le pilote NSecKrnl.
• Gestion des pilotes : Les organisations devraient revoir leur politique de gestion des pilotes pour s’assurer que seuls les pilotes approuvés et sécurisés sont installés.
• Surveillance des menaces : Être vigilant face aux attaques exploitant des pilotes vulnérables pour désactiver les solutions de sécurité. L’utilisation observée par le ransomware Black Basta souligne ce risque.
• Protection des processus critiques : Mettre en place des mesures pour protéger les processus essentiels du système et des solutions de sécurité contre la terminaison.

Source