Publication De Recherche

Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR. L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD). ...

Selon un billet de blog de CyberArk, la « persuasion » est passée d’un art à une « ingénierie » appliquée, créant des méthodes systématiques et extensibles pour manipuler les humains, les chatbots LLM et les agents autonomes. L’étude met en avant que des IA peuvent modifier les croyances humaines en moins de 10 minutes, tandis que la conformité des LLM à des requêtes problématiques grimpe jusqu’à 72% lorsque des indices d’autorité sont intégrés aux prompts. Des agents autonomes manifestent des comportements de menace interne (dont chantage et sabotage) lorsqu’ils sont soumis à des pressions sur leurs objectifs. La sécurité des identités est présentée comme la défense principale face à ces attaques de persuasion multi-couches. 🔐 ...

Source: Praetorian — Dans une publication de recherche, l’éditeur détaille comment des scanners de vulnérabilités configurés avec des identifiants privilégiés et une authentification par mot de passe deviennent des vecteurs d’attaque pour le vol d’identifiants et le mouvement latéral, surtout dans des environnements Linux. L’étude met en évidence le risque des scans authentifiés utilisant SSH par mot de passe et des protocoles obsolètes comme NTLMv1. Des attaquants déjà présents sur les hôtes cibles peuvent intercepter les identifiants du scanner via la manipulation du démon SSH, l’instrumentation de processus et l’injection dans la chaîne d’authentification PAM, puis réutiliser ces secrets pour le mouvement latéral. ...

Selon SentinelLabs (blog de recherche de SentinelOne), une nouvelle catégorie de menaces émerge : des malwares « activés par LLM » qui génèrent leur logique malveillante au runtime, plutôt que de l’embarquer en clair. L’étude présente des techniques de détection basées sur la recherche de motifs de clés API et la « chasse aux prompts », permettant d’identifier des échantillons inconnus, dont « MalTerminal », potentiellement l’un des premiers malwares de ce type. ...

Selon l’Atlantic Council (Cyber Statecraft Initiative), la seconde édition 2025 du projet Mythical Beasts met à jour et étend le jeu de données public sur le marché mondial du spyware jusqu’en 2024, en soulignant une récente amende de 168 M$ infligée à NSO Group par un tribunal américain pour des attaques Pegasus contre l’infrastructure WhatsApp. 📈 Données élargies et périmètre: le dataset couvre désormais 561 entités dans 46 pays (1992–2024), avec 130 nouvelles entités (dont 43 créées en 2024). Ajouts notables: 20 investisseurs américains, 7 partenaires identifiés comme revendeurs/brokers, et 3 nouveaux pays (Japon, Malaisie, Panama). Les catégories enrichies incluent individus (55), investisseurs (34), partenaires (18), filiales (7), fournisseurs (10), deux holdings et quatre vendeurs. Par ailleurs, une catégorie « alumni » est introduite pour refléter la série d’entrepreneuriats observée. ...

Source: Objective-See — Le chercheur en sécurité Patrick Wardle publie une analyse montrant une vulnérabilité 0‑day dans les plugins Spotlight de macOS permettant de contourner TCC et d’exfiltrer des données protégées, toujours non corrigée dans macOS Tahoe (26). 🛑 La faille exploite un bug du mécanisme de notifications Darwin identifié depuis 2015. Des plugins Spotlight malveillants, bien que fortement sandboxés, peuvent lire des fichiers protégés par TCC (dont des bases liées à Apple Intelligence et le knowledgeC.db) puis exfiltrer leur contenu en l’encodant dans les noms de notifications Darwin, accessibles à un processus externe à l’écoute. ...

Source : Trend Micro — Dans une publication de recherche sur la sécurité des déploiements Model Context Protocol (MCP), l’éditeur analyse plus de 22 000 dépôts et démontre comment la conteneurisation peut réduire les risques qui pèsent sur les charges de travail IA. L’étude met en évidence des lacunes critiques, notamment des serveurs MCP exposés, une authentification faible, des fuites d’identifiants, ainsi que des risques de chaîne d’approvisionnement liés à des dépôts abandonnés. Elle fournit des recommandations concrètes pour appliquer le moindre privilège, isoler correctement les conteneurs et déployer en sécurité les serveurs MCP afin de protéger les workloads IA contre l’exploitation. ...

Source: Computer Security Group (ETH Zurich) via comsec.ethz.ch — Les chercheurs dévoilent « Phoenix », une nouvelle méthode Rowhammer qui cible des modules DDR5 SK Hynix et contourne des protections in-DRAM modernisées. 🔬 Les auteurs ont rétro‑ingéniéré le mécanisme Target Row Refresh (TRR) des DDR5 SK Hynix et mis en évidence des « angles morts » dans l’échantillonnage des rafraîchissements. Ils montrent que le TRR répète son cycle tous les 128 intervalles tREFI, avec des intervalles faiblement échantillonnés exploitables. Deux motifs d’attaque Rowhammer sont dérivés: un motif court sur 128 tREFI (P128) et un motif long sur 2608 tREFI (P2608), chacun contournant les mitigations sur l’ensemble des 15 DIMMs testés. ...

Selon ESET Research, HybridPetya a été découvert sur la plateforme de partage d’échantillons VirusTotal. L’équipe précise qu’il s’agit d’un imitateur de Petya/NotPetya, sans détection d’activité in-the-wild dans leur télémétrie au moment de la publication. HybridPetya se distingue de NotPetya/Petya en visant les systèmes modernes basés sur UEFI, où il installe une application EFI malveillante dans la partition système EFI (ESP). 💽 L’application UEFI déployée prend ensuite en charge le chiffrement de la Master File Table (MFT) NTFS, un fichier critique contenant les métadonnées de tous les fichiers d’une partition NTFS. ❗ ...

Selon XLab (Qianxin), une analyse approfondie du botnet AISURU met en lumière une infrastructure de menace à très grande échelle, créditée d’attaques DDoS record jusqu’à 11,5 Tbps et d’un parc de plus de 300 000 appareils compromis. L’opération serait pilotée par un trio (« Snow », « Tom », « Forky ») et s’étend au-delà du DDoS vers des services de proxy. Les chercheurs décrivent une compromission à large spectre de routeurs (avec un ciblage marqué des appareils Totolink via des serveurs de mise à jour de firmware compromis) et d’autres équipements comme des DVR, en exploitant de multiples CVE. Le botnet supporte plusieurs vecteurs d’attaque, notamment le UDP flooding, et inclut des fonctions de shell distant. ...