Analyse Technique

Source: AFINE (billet technique de Karol Mazurek). Le billet analyse deux vulnérabilités dans le framework de mise à jour Sparkle sur macOS (CVE-2025-10015 et CVE-2025-10016), toutes deux dues à une absence de validation des clients XPC, montrant un impact en contournement TCC et en élévation de privilèges locale. Problème central: des services XPC de Sparkle établissent une confiance implicite sans vérifier l’identité du client. Cela permet à un processus local non privilégié d’exploiter des services existants avec des privilèges du binaire ciblé. Portée: découvert initialement via Ghostty.app, mais toute application embarquant Sparkle est potentiellement concernée. • CVE-2025-10015 — TCC bypass 🔓 ...

Source: Lighthouse Reports — Explainer technique décrivant la méthodologie et les découvertes issues d’un vaste archive lié à First Wap, une firme de traçage téléphonique opérant via le réseau télécom (SS7), en collaboration avec paper trail media et 12 partenaires. • Contexte et portée. L’équipe a découvert au printemps 2024 un archive de 1,5 million de lignes contenant des milliers de numéros et des centaines de milliers de localisations couvrant presque tous les pays. Elle attribue ces données à First Wap (Jakarta), opérant l’outil Altamides. L’enquête cartographie des usages contre des dissidents rwandais, un journaliste italien (Gianluigi Nuzzi) et des personnalités publiques (ex. Anne Wojcicki), et met en évidence des « clusters » d’opérations corrélées dans le temps et l’espace. ...

Selon CrowdStrike, cette analyse décrit CVE-2025-54918, une vulnérabilité critique permettant la compromission de contrôleurs de domaine Active Directory via coercition d’authentification et NTLM relay. ⚙️ Mécanisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrôleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sécurité SEAL et SIGN tout en préservant LOCAL_CALL, puis relaie l’authentification modifiée vers LDAP/LDAPS afin d’obtenir des privilèges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilégié et contourne des contrôles comme le channel binding et la signature LDAP. ...

Selon Horizon3.ai (blog Intelligence), cet article explique comment l’association d’IA agentique et de plateformes de pentest autonomes permet de passer d’une triage réactif des vulnérabilités (scanners/CVSS) à une remédiation pilotée par des preuves d’exploitation et vérifiée en continu. Le modèle FixOps met en place des boucles continues Find–Fix–Verify qui se concentrent sur la fermeture de chemins d’attaque prouvés, plutôt que sur l’inventaire volumineux de findings. L’objectif est de transformer les opérations de sécurité en réduction proactive du risque grâce à l’automatisation guidée par le contexte métier. ...

Selon Black Hills Information Security (BHIS), dans un contexte d’« Emerging Technology Security », le Model Context Protocol (MCP) — un standard ouvert d’Anthropic pour relier des applications LLM à des données et outils externes — introduit des risques notables en raison d’un manque de contrôles de sécurité intégrés. Le protocole MCP adopte une architecture client–serveur où les clients LLM utilisent JSON-RPC pour solliciter des capacités auprès de serveurs MCP via trois briques : Tools (fonctions exécutables), Resources (données en lecture seule) et Prompts (gabarits d’instructions). Les vulnérabilités découlent d’une confiance implicite, de l’absence de validation d’entrées et de l’inexistence de contrôles d’accès natifs. Le design favorise la fonctionnalité en connectant des systèmes probabilistes (LLM) à des outils déterministes sans frontières de confiance imposées. ...

Source: pacbypass.github.io (16 octobre 2025). Le billet analyse en détail une vulnérabilité de 7‑Zip liée au traitement des symlinks Linux/WSL lors de l’extraction d’archives ZIP sur Windows, en lien avec des rapports ZDI (CVE-2025-11001 et CVE-2025-11002) attribués à Ryota Shiga. Le cœur du problème réside dans la conversion des symlinks Linux vers Windows: un lien comportant un chemin Windows absolu (ex. C:...) est à tort classé comme « relatif » par le parseur, en raison d’une logique d’évaluation d’« absolute path » basée sur la sémantique Linux/WSL. Cette erreur alimente ensuite plusieurs vérifications défectueuses dans le flux d’extraction (GetStream → CloseReparseAndFile → SetFromLinkPath). ...

Selon BleepingComputer, des hackers étatiques chinois sont restés plus d’un an indétectés dans un environnement cible en transformant un composant de l’outil de cartographie ArcGIS en web shell. 🕵️ Des hackers chinois exploitent ArcGIS pour rester cachés plus d’un an dans un réseau Des chercheurs de ReliaQuest ont découvert qu’un groupe de hackers soutenu par l’État chinois — probablement Flax Typhoon — est resté plus d’un an dans le réseau d’une organisation en transformant un composant du logiciel ArcGIS en porte dérobée web (web shell). ArcGIS, développé par Esri, est utilisé par les administrations, services publics et opérateurs d’infrastructures pour gérer et analyser des données géographiques. ...

Source: Mandiant et Google Threat Intelligence Group. Contexte: une campagne d’extorsion à large échelle, opérée sous la marque CL0P, a exploité une vulnérabilité zero‑day dans Oracle E‑Business Suite (EBS) pour voler des données clients. Oracle a publié un correctif le 4 octobre pour CVE‑2025‑61882, tandis que Mandiant/GTIG documentent plusieurs chaînes d’exploit distinctes visant EBS. — Chronologie et portée — • Activités d’exploitation probables dès juillet 2025, avant la campagne d’extorsion récente. • Oracle publie le 4 octobre un patch référencé CVE‑2025‑61882. Mandiant/GTIG estiment que les serveurs EBS mis à jour via ce correctif ne sont probablement plus vulnérables aux chaînes d’exploit connues. • L’attribution précise des vulnérabilités aux chaînes d’exploit reste incertaine. ...

Selon Black Hills Information Security (BHIS), ce deuxième volet d’une série sur le hacking de l’IA dissèque les vulnérabilités d’injection de prompt dans les grands modèles de langue (LLM) et explique comment des acteurs peuvent manipuler ou contourner les consignes système. L’article souligne une faiblesse centrale : l’absence de frontières de privilèges entre les consignes développeur (system prompts) et les entrées utilisateur, et la nature hautement suggestible des LLM. Cette vulnérabilité est présentée comme une menace critique pour les systèmes IA, comparable à une injection SQL dans les applications traditionnelles. Des plateformes de pratique sont évoquées pour développer les compétences de test en sécurité IA. 🚨 ...

Selon Zenity Labs, cette analyse détaille les risques de sécurité liés à la nouvelle plateforme OpenAI AgentKit pour concevoir des workflows d’agents, couvrant son architecture (Agent Builder, Connector Registry via MCP, ChatKit) et ses mécanismes de sécurité intégrés. L’article décrit l’architecture node-based d’Agent Builder, avec des nœuds principaux (Agent, Start, End), des nœuds d’outils (dont des Guardrails pour la détection PII et jailbreak) et des nœuds logiques (conditionnels, boucles, User Approval). Le Connector Registry étend les agents via des connecteurs MCP vers des services externes, et ChatKit fournit l’intégration UI. ...