DragonBreath : vulnérabilité 0-day BYOVD dans dragoncore_k.sys liée à APT-Q-27 et APT31
🔍 Contexte Publié le 22 avril 2026 par Ransom-ISAC (Alex Necula & Ellis Stannard), ce rapport documente une vulnérabilité 0-day critique de type BYOVD dans le driver Windows dragoncore_k.sys, signé par Microsoft WHQL au nom de Zhengzhou 403 Network Technology Co., Ltd., une société écran chinoise dont le certificat GlobalSign EV a été explicitement révoqué pour abus. 🐛 Vulnérabilité technique Le driver expose une interface IOCTL non authentifiée (code 0x22201C) permettant à tout processus disposant de droits administrateur local de terminer des processus arbitraires depuis Ring 0, y compris ceux protégés par Protected Process Light (PPL), neutralisant ainsi tout EDR ou antivirus. Trois classes de vulnérabilités sont identifiées : ...