Publication De Recherche

L’article publié par Adam Kues le 1er juillet 2025 décrit une série de vulnérabilités XSS persistantes découvertes dans Adobe Experience Manager (AEM) Cloud. Ces vulnérabilités ont été exploitées à trois reprises, permettant l’exécution de scripts malveillants sur chaque site utilisant cette plateforme. Les chercheurs ont d’abord remarqué que le chemin /.rum était utilisé pour charger des fichiers JavaScript depuis un CDN, ce qui a permis d’exploiter des failles de sécurité pour injecter des scripts malveillants. La première attaque a tiré parti d’une erreur de validation de chemin, permettant de charger un fichier HTML malveillant depuis un package NPM hébergé sur Unpkg. ...

Selon un article publié sur GBHackers, des chercheurs de la société allemande ERNW ont révélé des vulnérabilités critiques affectant des millions d’écouteurs et d’oreillettes Bluetooth. Ces failles permettent aux hackers de mettre sur écoute des conversations, de détourner les dispositifs et d’accéder à des données sensibles sans nécessiter d’authentification ou de jumelage. Les vulnérabilités ont été présentées lors de la conférence de sécurité TROOPERS. Elles concernent spécifiquement les puces Bluetooth fabriquées par certains fournisseurs, bien que l’article ne précise pas lesquels. Cette découverte met en lumière la nécessité de renforcer la sécurité des appareils Bluetooth, souvent négligée. ...

L’équipe de recherche sur les menaces de ReliaQuest a publié une analyse détaillée sur une nouvelle vulnérabilité critique, CVE-2025-5777, surnommée ‘Citrix Bleed 2’. Cette faille affecte les dispositifs NetScaler ADC et Gateway de Citrix, permettant aux attaquants de détourner des sessions utilisateur et de contourner les mécanismes d’authentification, y compris l’authentification multifacteur (MFA). Bien qu’il n’y ait pas encore de rapports publics d’exploitation, ReliaQuest a observé des indicateurs d’activités malveillantes suggérant que des attaquants exploitent cette vulnérabilité pour obtenir un accès initial. Les signes incluent le détournement de sessions web Citrix, des requêtes LDAP suspectes, et l’utilisation d’outils de reconnaissance comme ‘ADExplorer64.exe’. ...

Stratascale Cyber Research Unit a découvert deux vulnérabilités locales dans l’outil Sudo, largement utilisé sur les systèmes Linux pour exécuter des commandes avec des privilèges élevés. Ces vulnérabilités permettent une élévation de privilèges à root sur les systèmes affectés, exploitant des options de ligne de commande rarement utilisées. L’une des vulnérabilités, CVE-2025-32462, repose sur une configuration spécifique des règles Sudo, souvent présente dans les environnements d’entreprise. La vulnérabilité a été présente dans le code depuis plus de 12 ans et affecte les versions de Sudo de 1.8.8 à 1.9.17. Elle permet à un utilisateur de contourner les restrictions d’accès en utilisant l’option -h (–host) pour exécuter des commandes autorisées par des règles de serveur distant sur le système local. Les systèmes d’exploitation tels qu’Ubuntu 24.04.1 et macOS Sequoia sont confirmés comme vulnérables. ...

L’équipe Varonis’ MDDR Forensics a découvert une campagne de phishing ciblant plus de 70 organisations en exploitant la fonctionnalité Direct Send de Microsoft 365. Cette fonctionnalité, conçue pour permettre à des appareils internes comme les imprimantes d’envoyer des emails sans authentification, est détournée par des acteurs malveillants pour usurper des utilisateurs internes et envoyer des emails de phishing sans compromettre de comptes. La campagne, qui a débuté en mai 2025, cible principalement des organisations basées aux États-Unis. Les attaquants utilisent PowerShell pour envoyer des emails usurpés via le smart host de Microsoft, rendant ces messages difficiles à détecter par les contrôles de sécurité traditionnels. Les emails semblent provenir d’adresses internes légitimes, ce qui leur permet de contourner les mécanismes de filtrage de Microsoft et d’autres solutions de sécurité tierces. ...

L’article publié par OWASP annonce le développement d’un système de notation rigoureux pour les vulnérabilités des systèmes d’intelligence artificielle, en particulier celles identifiées dans le OWASP Agentic AI Top 10. Les livrables clés incluent un système de notation précis et quantifiable, des rubriques claires pour évaluer la gravité et l’exploitabilité des vulnérabilités spécifiques, et un cadre AIVSS complet. Ce cadre est conçu pour être évolutif et validé à travers une gamme diversifiée d’applications AI. ...

Le rapport, publié par Winnona DeSombre Bernsen pour l’Atlantic Council, examine la capacité des États-Unis à sécuriser leur chaîne d’approvisionnement cyber offensive, en particulier face à la concurrence stratégique de la Chine dans le cyberespace. Les vulnérabilités zero-day sont identifiées comme une ressource stratégique cruciale dans cette compétition. Les conclusions clés du rapport soulignent que l’exploitation des zero-day devient de plus en plus difficile et coûteuse, et que la Chine dispose d’une chaîne d’approvisionnement cyber domestique bien plus vaste que celle des États-Unis. Le rapport critique également le modèle d’acquisition fragmenté et aversif au risque des États-Unis par rapport à l’approche décentralisée et externalisée de la Chine. ...

Dans un article publié par mr.d0x, une nouvelle méthode de phishing appelée FileFix est présentée comme une alternative à l’attaque ClickFix. Cette technique exploite la fonctionnalité de téléchargement de fichiers des navigateurs pour exécuter des commandes système sans quitter le navigateur. La méthode FileFix utilise la barre d’adresse de l’explorateur de fichiers pour exécuter des commandes OS. Le processus implique de tromper l’utilisateur en lui faisant croire qu’un fichier lui a été partagé et en l’incitant à coller une commande malveillante dans la barre d’adresse de l’explorateur de fichiers. ...

Selon un rapport détaillé de Kaspersky, une nouvelle campagne de logiciels espions nommée SparkKitty a été découverte, ciblant les utilisateurs de cryptomonnaies. Ce malware, lié à la campagne précédente SparkCat, vise à voler des photos des galeries des appareils Android et iOS, notamment celles contenant des phrases de récupération pour portefeuilles crypto. Les applications infectées se trouvent aussi bien sur des sources non officielles que sur les App Store et Google Play. Sur iOS, le malware se cache sous forme de frameworks malveillants, tandis que sur Android, il se présente sous forme de modules Xposed malveillants. Les chercheurs ont découvert que le malware utilise l’OCR pour sélectionner les images d’intérêt. ...

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...