Publication De Recherche

Source : Gal Bar Nahum’s Blog — Le 13 août 2025, le chercheur Gal Bar Nahum a dévoilé « MadeYouReset » (CVE‑2025‑8671), une vulnérabilité HTTP/2 de type déni de service qui exploite les mécanismes de contrôle de flux/erreurs du protocole pour contourner les limites de concurrence, en collaboration avec Prof. Anat Bremler‑Barr et Yaniv Harel (Université de Tel-Aviv), avec le soutien partiel d’Imperva. 🛑 Principe clé: MadeYouReset s’appuie sur l’idée de « Rapid Reset » (2023) mais avec un twist: au lieu que le client annule la requête, l’attaquant provoque des erreurs de flux afin que le serveur émette un RST_STREAM après le démarrage d’une requête valide. Comme les flux réinitialisés ne comptent plus dans MAX_CONCURRENT_STREAMS, le serveur poursuit souvent le travail backend (calcul de réponse) malgré la fermeture du flux côté HTTP/2, ce qui permet de créer un nombre non borné de travaux concurrents et d’induire un DoS. ...

Source : Trustwave (SpiderLabs Blog). Dans cette publication, des chercheurs présentent une méthodologie complète pour analyser le malware SnakeKeylogger et élaborer des signatures de détection efficaces. Ils montrent comment le code malveillant contourne des règles existantes en encodant en Base64 des données exfiltrées via SMTP, et proposent un flux de travail pratique pour collecter des IOC et affiner continuellement les signatures. 🔬 Comportement réseau et évasion : l’analyse met en évidence des connexions vers des IP malveillantes sur les ports 80, 443 et 587, et l’usage de l’encodage Base64 dans le trafic SMTP afin de contourner les règles de détection. ...

Source et contexte: Cisco Talos Blog publie une analyse d’« UAT-7237 », un groupe APT sinophone actif depuis au moins 2022 et présentant de fortes similitudes avec « UAT-5918 ». L’équipe décrit une intrusion récente contre un fournisseur d’hébergement web à Taïwan, avec un fort objectif de persistance à long terme et un outillage majoritairement open source, personnalisé pour l’évasion. Principales tactiques et objectifs 🎯: Le groupe obtient l’accès initial en exploitant des vulnérabilités connues sur des serveurs exposés, effectue une reconnaissance rapide (nslookup, systeminfo, ping, ipconfig) et s’appuie sur des LOLBins et des outils WMI (SharpWMI, WMICmd) pour l’exécution distante et la prolifération. La persistance et l’accès se font surtout via SoftEther VPN et RDP, avec un déploiement de web shells très sélectif. UAT-7237 privilégie Cobalt Strike comme implant, au contraire de UAT-5918 qui use surtout de Meterpreter et multiplie les web shells. L’acteur cible notamment les accès VPN et l’infrastructure cloud de la victime. ...

Selon Trend Micro (publication de recherche), les opérateurs du ransomware Crypto24 mènent des attaques coordonnées et furtives contre des organisations de haut profil en Asie, en Europe et aux États-Unis, avec un focus sur les services financiers, la fabrication, le divertissement et la technologie. Les acteurs combinent des outils légitimes comme PSExec et AnyDesk avec des composants personnalisés, opèrent durant les heures creuses, et adoptent une approche en plusieurs étapes: escalade de privilèges, mouvement latéral, surveillance persistante via keylogger, exfiltration de données, puis déploiement de ransomware après désactivation des solutions de sécurité. ...

Selon Embrace The Red, un chercheur en sécurité a mis au jour plusieurs vulnérabilités critiques d’exfiltration de données affectant Google Jules, un agent IA de codage asynchrone, démontrant un enchaînement de type « lethal trifecta »: injection de prompt → confused deputy → invocation automatique d’outils. 🚨 Principaux vecteurs d’attaque mis en évidence: Rendu d’images Markdown: ajout de données sensibles à des URLs tierces lors du rendu, permettant l’exfiltration via requêtes sortantes. Abus de l’outil view_text_website: utilisation de la fonction pour exfiltrer des données vers des serveurs contrôlés par l’attaquant. Exécution de code à distance (RCE) avec accès Internet non restreint. Le chercheur explique que l’architecture multi‑agents de Jules, où un agent planificateur principal coordonne des agents « workers » à forts privilèges, est au cœur de l’exposition: des attaques ciblant le planificateur peuvent contourner les contrôles « human‑in‑the‑loop », sans nécessiter les capacités des workers. ...

Source: Proofpoint — Contexte: des chercheurs détaillent une méthode de downgrade de l’authentification FIDO permettant de contourner des comptes protégés par passkeys/FIDO2, en ciblant Microsoft Entra ID au sein d’un scénario Adversary-in-the-Middle (AiTM); aucune exploitation observée à ce jour dans la nature, mais le risque est jugé significatif. Avant FIDO, les kits AiTM interceptaient identifiants et tokens MFA via des proxys inversés (Evilginx, EvilProxy, Tycoon), massifiés par le PhaaS. Les phishlets classiques, conçus pour voler mots de passe et contourner des MFA non résistants au phishing, échouent généralement face à FIDO, d’où l’intérêt d’un phishlet dédié au downgrade. ...

Source : VulnCheck — Des chercheurs analysent une chaîne de vulnérabilités critiques affectant ScriptCase, permettant une exécution de code à distance (RCE) sans authentification. Malgré des correctifs disponibles et des exploits publics, des centaines d’instances demeurent exposées et des acteurs malveillants scannent activement Internet. Vulnérabilités: CVE-2025-47227 (réinitialisation de mot de passe non authentifiée via fixation de session et contournement de captcha) et CVE-2025-47228 (injection de commandes dans la fonctionnalité de test de connexion SSH au sein d’une bibliothèque ADOdb modifiée). 🔥 ...

Contexte: Présenté à Black Hat USA, l’article rapporte la découverte par des chercheurs d’un nouveau lot de vulnérabilités dans le protocole Terrestrial Trunked Radio (TETRA), regroupées sous le nom 2TETRA:2BURST. Les failles identifiées affectent notamment le mécanisme propriétaire de chiffrement de bout en bout (E2EE) de TETRA. Elles l’exposent à des attaques par relecture et force brute, et permettraient même de déchiffrer du trafic chifré. Points clés: Vulnérabilités: ensemble de failles nommé « 2TETRA:2BURST » Technologie concernée: protocole de radiocommunications TETRA Impact: exposition de l’E2EE à des attaques de relecture et de force brute, avec possibilité de décryptage du trafic Contexte de divulgation: présentation à Black Hat USA TTPs mentionnées: ...

Selon Trend Micro, des chercheurs ont identifié « Charon », une nouvelle famille de ransomware ciblant des organisations du secteur public et de l’aviation au Moyen-Orient. Le rapport met en avant des techniques avancées proches des campagnes Earth Baxia et détaille ses mécanismes d’exécution et d’évasion. Le ransomware recourt à des techniques de type APT, dont le DLL sideloading via le binaire légitime Edge.exe pour charger une DLL malveillante msedge.dll (SWORDLDR). Cette charge utile décrypte et injecte du shellcode chiffré dans des processus svchost.exe, amorçant la phase d’exécution. Il intègre des capacités anti-EDR et démontre une propagation réseau vers des partages accessibles, tout en évitant les partages ADMIN$. ...

Selon Intigriti, ce guide présente une méthodologie complète pour repérer des implémentations Google Firebase et évaluer des mauvaises configurations fréquentes dans Firestore et Firebase Storage, avec des exemples pratiques de règles vulnérables menant à l’accès non autorisé, la manipulation ou la suppression de données. Le document couvre la fingerprinting de déploiements Firebase via l’analyse du trafic réseau et la découverte de la configuration dans le JavaScript côté client, la création de requêtes HTTP vers les API REST (firestore.googleapis.com et firebasestorage.app), ainsi que des tests d’accès avec des sessions anonymes et authentifiées. ...