CVE-2023-52271
Mis à jour :
Exploitation d’une vulnérabilité dans le pilote Topaz Antifraud
Une faille de sécurité, identifiée sous la référence CVE-2023-52271, a été découverte dans le pilote du noyau wsftprm.sys (version 2.0.0.0) du logiciel Topaz Antifraud. Cette vulnérabilité permet à un utilisateur disposant de privilèges limités de mettre fin à n’importe quel processus PPL (Protected Process Light).
L’exploitation se fait via un appel IOCTL (Input/Output Control). Cette méthode autorise un utilisateur de bas niveau à exécuter des appels arbitraires vers des fonctions du noyau, lui conférant la capacité de supprimer des processus sur le système. Une telle exploitation peut être utilisée pour contourner les protections anti-malware, comme celles proposées par Microsoft Defender.
Points Clés :
- Produit affecté : Logiciel Topaz Antifraud, pilote
wsftprm.sys, version 2.0.0.0. - Nature de la vulnérabilité : Permet la terminaison de processus PPL par des utilisateurs à faibles privilèges.
- Mécanisme d’exploitation : Utilisation d’appels IOCTL pour des appels arbitraires à des fonctions du noyau.
- Impact : Contournement potentiel des protections anti-malware, notamment Microsoft Defender.
Vulnérabilité :
- CVE : CVE-2023-52271
Recommandations :
Bien que l’article ne détaille pas explicitement les recommandations, les mesures de sécurité usuelles impliquent :
- La mise à jour du logiciel Topaz Antifraud vers une version corrigée dès qu’elle est disponible.
- La surveillance des journaux système pour détecter toute activité suspecte liée à la terminaison de processus.
- La mise en œuvre de contrôles d’accès stricts pour limiter l’exécution de processus par des utilisateurs à faibles privilèges.