Analyse Technique

Selon Huntress (Tactical Response et SOC), une intrusion observée en décembre 2025 a mené au déploiement d’un kit d’exploits visant VMware ESXi pour réaliser une évasion de machine virtuelle. L’accès initial est évalué avec haute confiance via un VPN SonicWall compromis. L’outillage contient des chaînes en chinois simplifié et des indices d’un développement de type zero-day antérieur à la divulgation publique, suggérant un développeur bien doté en ressources dans une région sinophone. L’activité, stoppée par Huntress, aurait pu culminer en ransomware. ...

Source: WebDecoy (équipe sécurité). Dans ce guide technique, les auteurs expliquent pourquoi le fingerprinting TLS — en particulier JA4, successeur de JA3 — redevient central pour détecter les scrapers d’IA (Browser-as-a-Service, navigateurs LLM) capables de falsifier l’environnement JavaScript, les User-Agent et d’utiliser des proxys résidentiels, mais qui peinent à imiter finement la poignée de main TLS. Le papier revient sur JA3 (concaténation des champs ClientHello et hachage MD5) et ses limites: GREASE qui introduit de la variabilité, sensibilité à l’ordre des extensions, changement de visibilité en TLS 1.3, et bibliothèques d’évasion (uTLS) permettant de forger des ClientHello arbitraires. ...

Source : Malware Analysis Space (blog de Seeker/@clibm079, Chine), publié le 2 janvier 2026. L’auteur propose des « notes complémentaires » à une analyse antérieure de LoJax, centrées sur le mécanisme de gestion/persistance abusé par ce bootkit UEFI, avec un fil conducteur du firmware jusqu’au mode utilisateur. Le billet rappelle que, sur une machine victime avec le Secure Boot désactivé ou mal configuré, LoJax exploite une condition de concurrence dans les protections d’écriture de la SPI flash. La persistance n’est pas basée sur les variables de boot UEFI, mais sur un driver DXE malveillant stocké en SPI flash. L’exécution est déclenchée via un callback d’événement ReadyToBoot (confirmation attribuée à ESET), et aucune modification de Boot####/BootOrder n’est rapportée (confiance indiquée comme faible). ...

Selon la publication du 31/12/2025, une attaque baptisée “ConsentFix” (aussi appelée “AuthCodeFix”) exploite le flux OAuth 2.0 par code d’autorisation pour voler le code de redirection et obtenir des tokens sur Microsoft Entra. Découverte dans la nature par PushSecurity (évolution de ClickFix), une variante démontrée par John Hammond supprime même l’étape de copier-coller au profit d’un glisser‑déposer de l’URL contenant le code. Pourquoi cela fonctionne 🧩 L’attaquant construit une URI de connexion Entra visant le client “Microsoft Azure CLI” et la ressource “Azure Resource Manager”. L’utilisateur s’authentifie puis est redirigé vers un URI de réponse local (ex. http://localhost:3001) qui contient le paramètre sensible “code” (valide environ 10 minutes) et éventuellement “state”. En l’absence d’application écoutant sur localhost, le navigateur affiche une erreur, mais l’URL contient toujours le code que l’attaquant récupère. Il l’échange ensuite pour des tokens (access/ID/refresh) et accède à la ressource. Ce mécanisme explique pourquoi l’attaque semble contourner les exigences de conformité d’appareil et certaines politiques d’Accès conditionnel, car elle abuse d’un flux OAuth légitime. Détection et signaux 🔎 ...

Selon la publication du PoC « mongobleed » (auteur : Joe Desimone), une vulnérabilité référencée CVE-2025-14847 affecte la décompression zlib de MongoDB et permet de faire fuiter de la mémoire serveur sans authentification. • Nature de la faille: un défaut dans la gestion de la décompression zlib retourne la taille du tampon alloué au lieu de la longueur réelle des données décompressées. En déclarant un champ « uncompressedSize » gonflé, le serveur alloue un grand tampon, zlib écrit les données au début, mais MongoDB traite l’intégralité du tampon comme valide, entraînant la lecture de mémoire non initialisée pendant l’analyse BSON. ...

Source: AISI – Osservatorio sulla Cybersecurity (Dipartimento di Management ed Economia). Contexte: rapport du Laboratorio di Analisi Malware dirigé par Luigi Martire, disséquant une chaîne malspam distribuant l’infostealer PureLogs. Les chercheurs ont identifié une nouvelle chaîne de malspam utilisée pour diffuser l’infostealer PureLogs, un malware spécialisé dans le vol massif de données sensibles. La campagne repose sur des emails de phishing ciblés, se faisant passer pour des communications légitimes d’entreprises de logistique, afin d’inciter les victimes à ouvrir des documents Microsoft Word piégés. ...

Selon PixiePoint Security (22 décembre 2025), CVE-2025-29970 affecte le driver Windows Brokering File System (bfs.sys) utilisé avec AppContainer/AppSilo (Win32-App-isolation). L’analyse cible la version 26100.4061 et décrit un use-after-free dans la gestion de la liste chaînée DirectoryBlockList lors de la fermeture du stockage. Contexte. BFS est un mini-filtre qui gère des opérations I/O (fichiers, pipes, registre) pour des applications isolées. Il s’appuie sur des structures internes comme PolicyTable, PolicyEntry (référencée fréquemment, avec compteur), StorageObject (bitmaps, AVL, liste DirectoryBlockList) et DirectoryBlockList (liste chaînée d’entrées de répertoires et buffers associés). ...

Une publication technique décrit en détail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisées notamment par Next.js) due à des références de prototype non sécurisées lors de la désérialisation du protocole React Flight. — Contexte et cause racine — La désérialisation des “chunks” du protocole React Flight ne vérifiait pas, jusqu’à un commit correctif de React, si la clé demandée appartenait réellement à l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des références croisées entre chunks (dont la syntaxe spéciale pour récupérer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — Chaîne d’exploitation (vue d’ensemble) 🚨 — ...

Selon un rapport TLP:CLEAR publié par la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Centre canadien pour la cybersécurité, des acteurs étatiques de la RPC utilisent le malware BRICKSTORM pour maintenir une persistence de longue durée dans des environnements VMware vSphere (vCenter/ESXi) et aussi des environnements Windows. L’analyse couvre 8 échantillons et inclut des IOCs, des règles YARA et Sigma, ainsi que des recommandations de détection et d’atténuation. ...

Selon l’extrait fourni, il s’agit d’un walkthrough expliquant l’usage de Ghidriff (Ghidra) pour analyser un correctif qui résout une écriture hors limites sur le tas dans rAthena, référencée sous CVE-2025-58447. 🔍 Le contenu décrit une analyse de patch par rétro‑ingénierie avec Ghidra/Ghidriff, centrée sur l’identification des changements apportés pour corriger la vulnérabilité de type heap-based out-of-bounds write. 🛠️ L’accent est mis sur le processus d’analyse technique du correctif, sans détailler d’autres éléments contextuels (impact, vecteur, versions). L’objectif est de comprendre comment le patch remédie à la faille. ...