一、 漏洞 CVE-2025-68947 基础信息
漏洞信息
# NSecsoft NSecKrnl 进程终止权限提升漏洞
## 概述
NSecsoft 'NSecKrnl' 是一个Windows驱动程序,存在权限提升漏洞,允许本地已认证攻击者通过发送特制的IOCTL请求终止其他用户(包括SYSTEM和受保护进程)的进程。
## 影响版本
未明确提及具体受影响版本。
## 细节
该驱动对IOCTL请求缺乏足够的权限验证,攻击者可利用此缺陷发送特定控制码,触发驱动执行进程终止操作,绕过正常权限隔离机制。
## 影响
本地攻击者可终止任意进程,包括高权限的SYSTEM进程和受保护进程,导致系统不稳定或实现权限提升。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
NSecsoft NSecKrnl process termination privilege escalation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
NSecsoft 'NSecKrnl' is a Windows driver that allows a local, authenticated attacker to terminate processes owned by other users, including SYSTEM and Protected Processes by issuing crafted IOCTL requests to the driver.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
NSecsoft NSecKrnl 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
NSecsoft NSecKrnl是中国安在(NSecsoft)公司的一款终端防护软件的底层核心模块。 NSecsoft NSecKrnl存在安全漏洞,该漏洞源于本地攻击者可通过特制IOCTL请求终止其他用户的进程。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-68947 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-68947 的情报信息
标题: ValleyRAT Exploiting BYOVD to Kill Endpoint Security - Hexastrike Cybersecurity -- 🔗来源链接
标签:exploittechnical-description
标题: CVE Record: CVE-2025-68947 -- 🔗来源链接
标签:vdb-entry
神龙速读:### 关键信息 - **CVE编号**: CVE-2025-68947 - **发布日期**: 2026-01-13 - **更新日期**: 2026-01-13 - **漏洞标题**: NSecsoft NSecKrn1 process termination privilege escalation - **描述**: NSecsoft 'NSecKrn1' 是一个Windows驱动程序,允许本地经过身份验证的攻击者通过向驱动程序发送特制的IOCTL请求来终止其他用户拥有的进程,包括SYSTEM和受保护的进程。 - ** CWE**: CWE-862: Missing Authorization - **CVSS评分**: - 3.1版本: 4.7 (中等) - 4.0版本: 5.7 (中等) - **受影响的产品**: NSecsoft NSecKrn1 - **默认状态**: 受影响 - **版本**: 0及更高版本受影响 - **发现者**: Maurice Fielenbach, Hexastrike Cybersecurity - **参考资料**: - virustotal.com - hexastrike.com - github.com - cve.org - raw.githubusercontent.com
标题: VirusTotal - File - 206f27ae820783b7755bca89f83a0fe096dbb510018dd65b63fc80bd20c03261 -- 🔗来源链接
标签:technical-description
神龙速读:## 关键漏洞信息 - **检测结果**: - 7/71 安全供应商标记此文件为恶意文件 - 社区评分为-54 - **文件信息**: - 哈希值: 206f27ae820783b7755bca89f83a0fe096d5bb510018dd65b63fc80d20c03261 - 名称: NSecKrn1 - 文件类型: peexe - 位数: 64bit - 包含覆盖层 - 汇编语言: assembly - 原生代码: native - 签名状态: signed - 文件大小: 24.47 KB - 最后分析日期: 2天前 - **代码洞察**: - 这个二进制文件是一个合法的Windows内核模式驱动程序,属于一个安全软件套件(NSecsoft)的一部分。 - 实现了标准的端点保护功能,包括通过PsSetCreateProcessNotifyRoutine进行进程监控,通过PsSetLoadImageNotifyRoutine进行映像加载跟踪,以及使用ObRegisterCallbacks进行进程句柄过滤以防止未经授权的进程终止。 - 还通过IOCTL 0x2248e0暴露了内核级别的进程终止原语,允许用户模式应用程序从内核空间中终止进程。 - **流行威胁标签**: - vulndriver - **安全供应商分析**: - 多个安全供应商将其标记为与vulndriver相关的恶意软件或潜在威胁,但大多数供应商未能检测到它。
标题: GitHub - ANYLNK/NSecSoftBYOVD: NSecSoftBYOVD POC -- 🔗来源链接
标签:exploit
神龙速读:- **GitHub Repository**: ANYLNK / NSecSoftBYOVD - **Vulnerability Name**: NSecSoftBYOVD - **Purpose**: Terminate AV processes, similar to techniques used by the Silverfox Group - **Usage**: - `NSecSoftBYOVD.exe PID`: Terminates the process with the specified PID - Requires the driver `NSecKrnL.sys` to be in the same directory as the executable - **Additional Notes**: - The tool is designed for BYOVD (Bring Your Own Vulnerable Driver) scenarios - References provided for further reading: - [bbs.kafan.cn](https://bbs.kafan.cn/thread-2284992-1-1.html) - [blog.csdn.net](https://blog.csdn.net/qq_40827990/article/details/148997201) - Languages: - C++ (100.0%)
- https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2026/va-26-013-01.jsongovernment-resourcethird-party-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2025-68947
四、漏洞 CVE-2025-68947 的评论
匿名用户
2026-01-15 06:09:08Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.