Analyse Technique

🔍 Contexte Publié le 30 mars 2026 par watchTowr Labs, cet article constitue la Partie 2 d’une analyse de la vulnérabilité CVE-2026-3055 affectant Citrix NetScaler. Les chercheurs ont découvert que ce CVE unique couvre en réalité au moins deux vulnérabilités distinctes de type memory overread. 🐛 Vulnérabilités identifiées Les deux endpoints affectés sont : /saml/login (analysé en Partie 1) /wsfed/passive?wctx (objet de cet article) La seconde vulnérabilité est déclenchée par une requête GET vers /wsfed/passive?wctx où le paramètre wctx est présent dans la query string mais sans valeur ni symbole =. Le système vérifie uniquement la présence du paramètre sans valider l’existence de données associées, ce qui provoque un accès à de la mémoire morte (dead memory). ...

🔍 Contexte Rapport publié par Sekoia Threat Detection & Research (TDR) le 30 mars 2026, initialement distribué en privé le 25 mars 2026. L’analyse porte sur EvilTokens, un nouveau kit de Phishing-as-a-Service (PhaaS) découvert en mars 2026 via la surveillance de communautés cybercriminelles axées sur le phishing. 🎯 Description de la menace EvilTokens est un kit PhaaS clé en main ciblant Microsoft 365 via la technique de device code phishing, exploitant le flux OAuth 2.0 Device Authorization Grant. Contrairement aux plateformes AitM classiques, EvilTokens incite les victimes à entrer un code utilisateur sur la page légitime de Microsoft, permettant à l’attaquant de récupérer des access tokens et refresh tokens valides. ...

🔍 Contexte Publié le 23/03/2026 par Simon Msika de Synacktiv, cet article présente une recherche approfondie sur l’exploitation de la délégation contrainte basée sur les ressources (RBCD) dans des environnements Active Directory multi-domaines et multi-forêts, un scénario peu documenté jusqu’alors. ⚙️ Mécanisme de l’attaque L’attaque RBCD repose sur la modification de l’attribut msDS-AllowedToActOnBehalfOfOtherIdentity d’un compte machine pour permettre l’usurpation d’identité d’utilisateurs. Dans un contexte cross-domaine, le workflow Kerberos implique plusieurs étapes supplémentaires : ...

🔍 Contexte Publié le 28 mars 2026 sur le blog de recherche QriouSec, cet article présente une analyse technique approfondie de la vulnérabilité CVE-2025-14325, découverte dans le moteur JavaScript SpiderMonkey de Mozilla Firefox. La découverte a été facilitée par du fuzzing assisté par IA (Claude Code) ciblant la fonctionnalité TypedArray resizable. 🐛 Vulnérabilité : Type Confusion dans le JIT Baseline La vulnérabilité réside dans le mécanisme des inline caches (IC) du tier Baseline JIT de SpiderMonkey. Le flux d’exploitation repose sur une fenêtre de ré-entrance : ...

🔍 Contexte Article publié le 26 mars 2026 par Patrick Wardle (Objective-See Foundation) sur son blog technique. L’article documente une analyse par rétro-ingénierie des nouveaux événements Endpoint Security (ES) introduits dans macOS 26.4, laissés sans documentation publique par Apple sous la forme ES_EVENT_TYPE_RESERVED_*. 🧩 Découverte des événements réservés Avec la sortie du MacOSX26.4.sdk, Apple a ajouté 7 nouveaux types d’événements ES (RESERVED_0 à RESERVED_6) sans les documenter ni les nommer. Wardle tente de s’y abonner via es_subscribe : ...

🔍 Contexte Article technique publié le 27 mars 2026 sur Substack par un chercheur en sécurité. Il documente l’analyse par rétro-ingénierie des Background Security Improvements (BSI), le nouveau mécanisme de correctifs silencieux d’Apple introduit avec iOS 26.1/macOS 26.1 en remplacement des Rapid Security Responses (RSR). 🛡️ Mécanisme BSI Les BSI fonctionnent via des cryptexes (images disque scellées sur le volume preboot) contenant Safari, WebKit et les bibliothèques système. Le patch applique un diff binaire sur le cryptex concerné, puis demande un nouveau manifeste Cryptex1Image4 au service de signature Apple. Le système de fichiers racine n’est pas modifié. ...

🌐 Contexte Source : socket.dev, publié le 28 mars 2026. Une campagne de phishing coordonnée et à grande échelle cible les développeurs directement sur la plateforme GitHub, en exploitant la fonctionnalité GitHub Discussions pour diffuser de fausses alertes de sécurité liées à Visual Studio Code. 🎯 Mode opératoire Les attaquants créent des milliers de GitHub Discussions quasi-identiques imitant des avis de sécurité légitimes, avec des titres tels que : “Visual Studio Code – Severe Vulnerability – Immediate Update Required” “Critical Exploit – Urgent Action Needed” Chaque post référence des CVE fabriqués et des plages de versions fictives, et incite les développeurs à télécharger une version “corrigée” via un lien externe. Les publications sont effectuées par des comptes récemment créés ou peu actifs, et taguent massivement des développeurs pour amplifier la portée via le système de notifications email de GitHub. ...

🔍 Contexte Article publié le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique détaillée de la vulnérabilité CVE-2025-33073, portant sur l’exploitation de la délégation Kerberos non contrainte dans les environnements Windows Active Directory. ⚠️ Vulnérabilité analysée CVE-2025-33073 affecte les hôtes Windows membres de domaine ne disposant pas du signature SMB activée. Elle permet à tout utilisateur de domaine disposant d’un accès réseau d’obtenir des privilèges SYSTEM sur un serveur membre non patché, sans nécessiter d’accès administrateur local préalable. ...

🔍 Contexte Publié le 28 mars 2026 par Stefan Dasic sur le blog Malwarebytes, cet article présente la découverte d’un nouvel infostealer macOS initialement nommé NukeChain, puis renommé Infiniti Stealer après la divulgation publique de son panneau de contrôle. Il s’agit, selon les auteurs, de la première campagne macOS documentée combinant la technique ClickFix et un stealer Python compilé avec Nuitka. 🎯 Vecteur d’infection : ClickFix via fausse page CAPTCHA L’infection débute sur le domaine update-check[.]com, qui affiche une réplique de page de vérification humaine Cloudflare. L’utilisateur est invité à : ...

🔍 Contexte Publié le 28 mars 2026 par Beazley Security Labs en collaboration avec Halcyon, cet article présente une analyse technique approfondie d’une intrusion récente attribuée au groupe Pay2Key, un acteur de menace d’origine iranienne actif depuis 2020. L’analyse couvre à la fois les évolutions techniques du groupe et une chaîne d’attaque complète observée lors d’un incident en Q1 2026 dans une organisation de santé américaine. 🎭 Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs noms : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué le groupe à l’Iran, qualifiant ses opérations d’« information operation » visant les infrastructures américaines et israéliennes. Les paiements de rançon ont historiquement transité par Excoino, une plateforme d’échange de cryptomonnaies iranienne. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. ...