Nouvel outil GhostLock qui exploite l'API Windows pour bloquer l'accès aux fichiers

Un chercheur en sécurité de Israel Aerospace Industries, Kim Dvash, vient de dévoiler un outil proof-of-concept baptisé GhostLock. Ce dernier illustre une méthode pour exploiter une API légitime de Windows afin de bloquer l’accès à des fichiers locaux ou sur des partages réseau SMB.

Exploitation de l’API CreateFileW

La faille repose sur l’API CreateFileW et ses modes de partage de fichiers. En fixant le paramètre dwShareMode à 0 dans la fonction CreateFileW(), un processus obtient un accès exclusif au fichier. D’autres utilisateurs ou applications ne peuvent plus l’ouvrir tant que les handles persistent.

Par exemple, ce code ouvre le fichier finance.xlsx en mode exclusif :

HANDLE hFile = CreateFileW( L"\\server\share\finance.xlsx", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL );

Toute tentative d’accès ultérieure provoque l’erreur STATUS_SHARING_VIOLATION sous Windows.

Erreur de partage de fichiers Windows
Source: Kim Dvash

Fonctionnement de l’outil GhostLock

Disponible sur GitHub, GhostLock automatise l’attaque en ouvrant récursivement un grand nombre de fichiers sur des partages SMB. Les utilisateurs de domaine standards suffisent, sans besoin de privilèges élevés. L’effet s’amplifie avec plusieurs appareils compromis lançant l’attaque en parallèle, en rouvrant constamment les handles.

L’accès aux fichiers revient à la normale après terminaison de la session SMB, arrêt des processus ou redémarrage du système.

Impact et détection

Dvash qualifie cette approche de perturbation plutôt que de destruction, comparable à une interruption temporaire sans perte de données. Elle sert de diversion lors d’intrusions, surchargeant les équipes IT pendant des exfiltrations ou mouvements latéraux.

Les outils de sécurité, axés sur les écritures ou cryptages massifs, peinent à repérer ces ouvertures légitimes. L’indicateur clé réside dans le compteur d’ouvertures par session avec ShareAccess = 0 au niveau du serveur de fichiers, absent des logs Windows, EDR ou flux réseau.

Le chercheur fournit des requêtes SIEM et une règle NDR dans son document technique pour aider les défenseurs.

Nouvel outil GhostLock qui exploite l’API Windows pour bloquer l’accès aux fichiers

Exploitation de l’API CreateFileW

Fonctionnement de l’outil GhostLock

Impact et détection

R9 Pro de retour en stock : pourquoi tout le monde s’arrache ce purificateur d’eau

MacBook Neo + AirPods 4 à prix cassé grâce à ce code réduction Cdiscount

EZVIZ EP8 Ultra : Sonnette connectée avatar double objectif qui surveille même les colis

Microsoft Defender a une faille zero-day surnommée 'RoguePlanet' qui accorde des privilèges administrateur complets

L’agent IA OpenClaw se laisse piéger par des attaques de phishing et expose des données utilisateurs

ServiceNow révèle un incident de sécurité ayant exposé les données de clients

Microsoft publie la mise à jour de sécurité étendue KB5094127 pour Windows 10

SAP corrige des failles critiques dans NetWeaver et Commerce Cloud

TEST Reolink Home Hub : L’enregistrement de vos caméras Wi-Fi sans abonnement

TEST Reolink Solar Floodlight Cam : Caméra de sécurité Wi-Fi solaire éblouissante et dissuadante

TEST JIMMY Matrix M9 Pro + S9 : Eau purifiée, chaude ou gazeuse en quelques secondes