Publication De Recherche

Source: Google Project Zero — Dans un billet technique, un chercheur démontre une chaîne d’exploit complète contre CVE-2025-38236, montrant comment passer du code dans le renderer de Chrome à un accès noyau sur Linux ≥ 6.9. L’article met en avant les risques de sécurité liés à l’exposition de fonctionnalités noyau peu utilisées dans des environnements sandboxés. La faille est une use-after-free dans l’implémentation AF_UNIX MSG_OOB du noyau Linux, due à une gestion incorrecte des buffers out-of-band dans la fonction manage_oob(), créant des pointeurs pendants lorsque plusieurs SKB de taille zéro coexistent dans les files de réception. Les versions affectées mentionnées sont Linux ≥ 6.9. ...

Selon le blog d’Outflank (7 août 2025), des chercheurs montrent qu’un petit LLM spécialisé peut surpasser des modèles généralistes sur des tâches cybersécurité, en présentant Dante-7B capable de générer automatiquement des chargeurs de shellcode Cobalt Strike qui contournent Microsoft Defender for Endpoint. Le travail met en avant une approche par Reinforcement Learning with Verifiable Rewards (RLVR) pour produire des artefacts malveillants fonctionnels et furtifs sans utiliser de jeux de données de malwares traditionnels. L’objectif est de démontrer les implications pour la recherche offensive et la préparation défensive 🧪🛡️. ...

Selon Digital Digging (digitaldigging.org), une enquête a analysé 512 conversations ChatGPT partagées publiquement, révélant une vaste exposition d’informations sensibles et compromettantes. Les chercheurs, via des recherches par mots-clés ciblés, ont mis au jour un ensemble d’éléments comprenant des auto-incriminations et des données confidentielles, conservés comme des archives publiques consultables en permanence 🔎. Les contenus découverts incluent notamment : schémas apparents de délit d’initié, données financières d’entreprise détaillées, aveux de fraude, et preuves de violations réglementaires. ...

Selon une publication technique référencée sur embracethered.com, un chercheur en sécurité démontre une chaîne d’attaque permettant de détourner l’agent Devin AI via une injection de prompts indirecte pour exposer des systèmes de fichiers et services internes au public, sans correctif apparent plus de 120 jours après divulgation responsable. L’attaque s’appuie sur le détournement de l’outil système expose_port de Devin AI. En « Stage 1 », un serveur web Python est lancé localement pour exposer le système de fichiers sur le port 8000. En « Stage 2 », l’outil expose_port est invoqué automatiquement pour rendre ce service accessible publiquement via des domaines en .devinapps.com, puis l’URL d’accès est exfiltrée en exploitant des failles liées au rendu Markdown d’images. ...

Selon le Threat Research Team de Socket, onze packages Go malveillants (dont dix encore en ligne) — dont huit sont des typosquats — recourent à une routine d’obfuscation par index identique et déploient un second étage depuis des C2 en .icu et .tech, avec un impact potentiel sur les développeurs et systèmes CI qui les importent. • Découverte et mécanisme: le code exécute silencieusement un shell, récupère un payload de second étage depuis un ensemble interchangeable d’endpoints C2 et l’exécute en mémoire. La plupart des C2 partagent le chemin « /storage/de373d0df/a31546bf ». Six des dix URLs restent accessibles, offrant à l’attaquant un accès à la demande aux environnements affectés. Les binaires ELF/PE observés effectuent un inventaire hôte, lisent des données de navigateurs et beaconnent vers l’extérieur, souvent après un délai initial d’une heure pour évasion de sandbox. ...

Selon Sophos (news.sophos.com), présenté à Black Hat USA ’25, des chercheurs dévoilent une approche de classification de sécurité des lignes de commande qui repense la place de la détection d’anomalies afin de réduire les faux positifs sans dégrader les capacités de détection. L’idée clé consiste à ne plus utiliser la détection d’anomalies pour identifier directement le malveillant, mais à s’en servir pour découvrir une grande diversité de comportements bénins. Ces comportements sont ensuite étiquetés automatiquement (benin/malveillant) par un LLM afin d’augmenter les données d’entraînement. Résultat: l’apprentissage supervisé s’en trouve nettement amélioré, avec des gains d’AUC jusqu’à 27,97 points sur de la télémétrie de production portant sur 50 millions de commandes quotidiennes, tout en réduisant les faux positifs et en maintenant la détection. 📈 ...

L’article publié par Infoblox explore l’histoire et les activités de VexTrio, un acteur clé dans le domaine de la cybercriminalité et de la distribution de trafic malveillant. Initialement impliqué dans le spam et les escroqueries, VexTrio s’est transformé en un réseau complexe d’entreprises liées à l’adtech. VexTrio est connu pour son système de distribution de trafic (TDS), qui est utilisé pour masquer des fraudes numériques telles que les scarewares, les escroqueries en cryptomonnaies et les faux VPN. En 2024, près de 40 % des sites web compromis redirigeaient vers le TDS de VexTrio, illustrant leur influence dans le paysage des menaces. ...

Le site met en lumière les risques de sécurité associés à l’utilisation de HTTP/1.1, un protocole de communication web largement utilisé. HTTP/1.1 est décrit comme intrinsèquement peu sûr, exposant potentiellement des millions de sites web à des risques de prise de contrôle hostile. Cette vulnérabilité est due à des failles dans la conception du protocole qui ne répondent pas aux normes de sécurité modernes. L’article appelle à une mobilisation collective pour abandonner HTTP/1.1 au profit de versions plus sécurisées comme HTTP/2 ou HTTP/3, qui offrent des améliorations significatives en matière de sécurité et de performance. ...

L’article publié sur BleepingComputer le 6 août 2025, révèle une nouvelle technique d’évasion post-exploitation nommée ‘Ghost Calls’. Cette méthode exploite les serveurs TURN utilisés par des applications de conférence telles que Zoom et Microsoft Teams. Ces serveurs, normalement utilisés pour faciliter les connexions réseau dans des environnements NAT, sont détournés pour faire transiter du trafic malveillant à travers une infrastructure de confiance. L’utilisation de ces serveurs permet aux attaquants de tunneler leur trafic de commande et de contrôle (C2) de manière discrète, rendant plus difficile la détection par les systèmes de sécurité traditionnels. ...

L’article publié par PortSwigger met en lumière des recherches menées par James Kettle sur des attaques de désynchronisation HTTP qui révèlent des failles fondamentales dans l’implémentation du protocole HTTP/1.1. Résumé exécutif : Les nouvelles classes d’attaques, telles que les attaques 0.CL et les exploits basés sur l’en-tête Expect, contournent les mitigations existantes et affectent des fournisseurs d’infrastructure majeurs comme Akamai, Cloudflare et Netlify. Un outil open-source est mis à disposition pour détecter systématiquement les divergences de parseur, ayant déjà permis de récolter plus de 200 000 $ en primes de bug bounty. ...