Analyse Technique

Selon un article publié par BleepingComputer, le ransomware Akira a été observé en train d’utiliser un pilote de tuning de CPU légitime d’Intel pour désactiver Microsoft Defender sur les machines ciblées. Cette technique permet aux attaquants de contourner les outils de sécurité et les solutions de détection et de réponse des endpoints (EDR). Cette exploitation implique l’utilisation d’un pilote qui, bien que légitime, est détourné pour désactiver les protections de sécurité, rendant ainsi les systèmes plus vulnérables aux attaques. Les acteurs malveillants tirent parti de cette méthode pour faciliter la propagation de leur ransomware et maximiser l’impact de leurs attaques. ...

Cet article publié par Semperis décrit un scénario d’attaque surnommé EntraGoat, illustrant comment des attaquants peuvent exploiter des certificats compromis et des permissions d’application excessives pour obtenir des privilèges d’administrateur global dans Microsoft Entra ID. L’attaque commence par un certificat divulgué associé à un service principal disposant des permissions AppRoleAssignment.ReadWrite.All. Ce certificat est ensuite utilisé pour s’auto-attribuer les permissions RoleManagement.ReadWrite.Directory, permettant ainsi une escalade de privilèges jusqu’aux droits d’administrateur global. ...

L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory. Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse. ...

L’article provient de The DFIR Report et décrit une campagne sophistiquée exploitant le SEO poisoning pour distribuer des outils de gestion IT trojanisés, permettant l’installation du malware Bumblebee et du ransomware Akira. L’attaque commence par des résultats de recherche Bing empoisonnés qui redirigent vers des sites malveillants hébergeant des installateurs MSI trojanisés. Ces fichiers MSI déploient le malware Bumblebee via msimg32.dll en utilisant consent.exe, établissant des communications C2 avec des domaines DGA. ...

L’article publié par ReversingLabs met en lumière l’importance croissante du Policy-as-Code (PaC) comme priorité stratégique pour les organisations cherchant à automatiser les contrôles de sécurité et de conformité dans les flux de travail de développement. En transformant les politiques organisationnelles en formats lisibles par machine, les équipes peuvent déplacer les vérifications de sécurité plus tôt dans le cycle de développement, améliorer la cohérence et réduire les erreurs manuelles. L’implémentation du PaC s’appuie généralement sur l’Open Policy Agent (OPA) comme moteur de politique avec le langage de politique déclaratif Rego. Les points d’intégration techniques incluent les environnements Kubernetes (avec des outils comme Kyverno), la validation de l’Infrastructure-as-Code (Terraform avec HashiCorp Sentinel), et l’application des pipelines CI/CD via des outils comme Conftest et Checkov. ...

L’article publié par Dtex Systems met en avant la gouvernance de l’IA comme un levier stratégique plutôt qu’une contrainte, en soulignant que des cadres appropriés peuvent accélérer l’innovation tout en gérant les risques. Il est souligné que la gouvernance de l’IA doit se concentrer sur les résultats plutôt que sur la simple surveillance, nécessitant une collaboration interfonctionnelle et une intégration avec les programmes de gestion des risques internes. La gouvernance est positionnée comme un avantage concurrentiel qui permet une rapidité de mise sur le marché, une préparation réglementaire et des partenariats plus solides tout en protégeant contre les mauvais usages de l’IA et l’exposition des données. ...

Le rapport publié par Renzon Cruz, Nicolas Bareil et Navin Thomas de la société Palo Alto Networks analyse les activités récentes ciblant les infrastructures télécoms, attribuées avec une haute confiance au groupe Liminal Panda. Les attaquants ont utilisé des outils sur mesure adaptés aux environnements télécoms, exploitant des protocoles courants tels que SSH, ICMP, DNS et GTP pour maintenir l’accès et établir des canaux de commande et de contrôle dissimulés. ...

Cet article, publié par Praetorian, met en lumière les risques de sécurité associés aux plateformes de surveillance et de journalisation internes telles que Datadog, Kibana et Sumo Logic. Il démontre comment des testeurs d’intrusion et des équipes rouges peuvent exploiter ces plateformes pour découvrir des informations sensibles et des identifiants involontairement enregistrés. L’article présente une étude de cas détaillée où l’accès à une instance Kibana non authentifiée a conduit à une compromission complète du domaine à travers une chaîne de découvertes d’identifiants. Cette chaîne inclut la découverte de GitHub PAT, l’analyse de dépôt avec Nosey Parker, la compromission de plateformes DevOps, la coercition d’authentification LDAP avec Responder, l’escalade de privilèges Active Directory via une attaque de Shadow Credentials, et finalement DCSync pour l’accès admin du domaine. ...

L’article de VulnCheck met en lumière une nouvelle méthode d’exploitation de la vulnérabilité CVE-2021-36260, une faille d’injection de commande dans les systèmes Hikvision. Cette vulnérabilité est largement exploitée par des groupes de menaces avancées tels que Flax Typhoon et Fancy Bear. Traditionnellement, cette faille est exploitée pour déposer et exécuter des binaires malveillants, mais les systèmes Hikvision ne disposent pas des outils classiques comme curl ou wget pour télécharger des fichiers distants. VulnCheck a observé une attaque utilisant une approche innovante : le montage d’un partage NFS distant pour exécuter un fichier, contournant ainsi les limitations habituelles. ...

L’article publié par Zero Day Initiative détaille une vulnérabilité critique découverte dans Cisco Identity Services Engine (ISE), identifiée comme CVE-2025-20281. Cette faille permet une exécution de code à distance non authentifiée via une désérialisation de données non fiables dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener. L’analyse révèle que la vulnérabilité initiale a conduit à une injection de commande en tant que root, exploitée par l’attaquant pour obtenir un shell root sur les installations affectées de Cisco ISE, y compris l’évasion d’un conteneur Docker. Cette vulnérabilité est due à une mauvaise gestion de la désérialisation et à l’utilisation incorrecte de la fonction Runtime.getRuntime().exec() de Java. ...