CVE-2023-52271
Mis à jour :
Exploitation du pilote wsftprm.sys pour la terminaison de processus protégés
Une vulnérabilité affecte la version 2.0.0.0 du pilote noyau wsftprm.sys du logiciel Topaz Antifraud. Elle permet à un utilisateur disposant de privilèges limités de terminer n’importe quel processus protégé (PPL - Protected Process Light).
L’exploitation se fait via un appel IOCTL (Input/Output Control), autorisant des appels arbitraires à des fonctions du noyau susceptibles de stopper des processus. Cette faille peut être utilisée pour contourner des mesures de sécurité anti-malware, y compris celles de Microsoft Defender.
Points Clés :
- Vulnérabilité dans le pilote noyau
wsftprm.sys(Topaz Antifraud). - Permet la terminaison de processus protégés (PPL).
- Utilise un appel IOCTL pour exécuter des fonctions noyau arbitraires.
- Peut contourner les protections anti-malware.
Vulnérabilité :
- CVE-2023-52271
Recommandations :
- Il est conseillé de mettre à jour le logiciel Topaz Antifraud vers une version corrigée afin de pallier cette vulnérabilité.