Selon Cyber Security News, CISA a publié le 20 octobre 2025 une alerte urgente sur CVE-2025-33073, une vulnérabilité d’« improper access control » dans le client SMB de Windows, inscrite au catalogue KEV et activement exploitée, pouvant mener à une élévation de privilèges via authentification forcée. 🚨 La faille, liée à CWE-284 (Improper Access Control), cible le protocole SMB de Windows. Des acteurs malveillants peuvent amener une machine victime à initier une connexion SMB vers un serveur attaquant, ce qui force l’authentification et peut accorder un accès non autorisé, facilitant le contrôle complet de l’appareil et la mouvance latérale au sein des réseaux. Le contexte est tendu avec une hausse des incidents SMB en 2025, y compris sur des environnements Azure non corrigés. ...

Selon Korea JoongAng Daily (vendredi 17 octobre 2025), le gouvernement sud-coréen a reconnu qu’une intrusion avait visé la plateforme de gestion Onnara et des certificats de signature administrative GPKI, essentiels à l’authentification des fonctionnaires. Le ministère de l’Intérieur et de la Sécurité confirme que des signes d’accès externe à Onnara via le G‑VPN ont été détectés à la mi-juillet par le National Intelligence Service (NIS). L’aveu intervient deux mois après un rapport de Phrack Magazine affirmant que plusieurs ministères et entreprises (MOIS, Affaires étrangères, Unification, Océans et Pêches, KT, LG U+, Daum, Kakao, Naver, etc.) avaient été ciblés — des allégations que le gouvernement a reconnu comme exactes. ...

Selon CrowdStrike, cette analyse décrit CVE-2025-54918, une vulnérabilité critique permettant la compromission de contrôleurs de domaine Active Directory via coercition d’authentification et NTLM relay. ⚙️ Mécanisme: l’attaque abuse du protocole MS-RPRN (technique « PrinterBug ») pour forcer l’authentification du contrôleur de domaine, intercepte les paquets NTLM, retire les drapeaux de sécurité SEAL et SIGN tout en préservant LOCAL_CALL, puis relaie l’authentification modifiée vers LDAP/LDAPS afin d’obtenir des privilèges SYSTEM. Elle ne requiert qu’un compte de domaine faiblement privilégié et contourne des contrôles comme le channel binding et la signature LDAP. ...

Source: Huntress — Dans un billet technique, Huntress détaille une enquête d’incident Qilin avec télémétrie minimale, reconstruite grâce à des artefacts Windows pour retracer l’attaque du premier accès jusqu’au chiffrement. Les analystes ont travaillé sans EDR, SIEM ni canaris ransomware, s’appuyant sur des journaux d’événements Windows, AmCache et les journaux Program Compatibility Assistant (PCA). Ils ont identifié l’installation d’un RMM ScreenConnect non autorisé, des transferts de fichiers suspects (r.ps1, s.exe, ss.exe) et une progression de l’attaque allant de l’accès RDP à l’exécution du ransomware. 🧭 ...

Selon BleepingComputer, des pirates exploitent activement la vulnérabilité critique SessionReaper (CVE-2025-54236) touchant les plateformes Adobe Commerce (ex‑Magento), avec des centaines de tentatives déjà enregistrées. ⚠️ Exploitation active de la faille critique “SessionReaper” dans Adobe Commerce (Magento) Des chercheurs de Sansec alertent sur une campagne d’exploitation active de la vulnérabilité critique CVE-2025-54236, surnommée SessionReaper, affectant les plateformes Adobe Commerce (anciennement Magento). Plus de 250 tentatives d’attaque ont déjà été détectées en une seule journée, ciblant plusieurs boutiques en ligne. ...

Selon BleepingComputer, une vulnérabilité de haute gravité (CVE-2025-62518) affecte la bibliothèque Rust désormais abandonnée async-tar ainsi que ses forks, et peut être exploitée pour obtenir une exécution de code à distance (RCE) sur des systèmes exécutant des logiciels non patchés. L’article met en avant le caractère critique de la faille et le fait qu’elle touche non seulement le projet d’origine, mais aussi ses dérivés. ⚠️ La conséquence principale est la possibilité pour un attaquant d’exécuter du code arbitraire à distance. ...

Selon ian.sh (Ian Carroll), dans un billet publié le 22/10/2025, des chercheurs (Ian Carroll, Gal Nagli, Sam Curry) ont identifié une faille critique sur le portail de « Driver Categorisation » de la FIA lié aux événements de Formule 1. — Découverte et vecteur d’attaque — Les chercheurs ont exploité une vulnérabilité de mass assignment / contrôle d’accès insuffisant sur l’API (requête HTTP PUT vers « /api/users/{id} »), où le champ JSON roles était accepté côté serveur. En injectant { "roles": [{ "id": 1, "name": "ADMIN" }] }, ils ont pu s’assigner le rôle ADMIN, puis, après réauthentification, accéder au tableau de bord d’administration. ...

Selon Horizon3.ai (blog Intelligence), cet article explique comment l’association d’IA agentique et de plateformes de pentest autonomes permet de passer d’une triage réactif des vulnérabilités (scanners/CVSS) à une remédiation pilotée par des preuves d’exploitation et vérifiée en continu. Le modèle FixOps met en place des boucles continues Find–Fix–Verify qui se concentrent sur la fermeture de chemins d’attaque prouvés, plutôt que sur l’inventaire volumineux de findings. L’objectif est de transformer les opérations de sécurité en réduction proactive du risque grâce à l’automatisation guidée par le contexte métier. ...

Source: LeMagIT (Valéry Rieß-Marchive). Contexte: à la suite d’une enquête de Le Monde et Die Zeit évoquant un « Group 78 » qui aurait orchestré des fuites pour déstabiliser le gang de rançongiciel Black Basta, LeMagIT détaille comment une source anonyme, « Mikhail », l’a contacté fin 2024 avec des informations sur le supposé leader (« Tramp »/Oleg Nefedov). Le 16 décembre 2024, « Mikhail » contacte l’auteur via X pour révéler l’identité du chef de Black Basta, groupe apparu au printemps 2022, héritier de la nébuleuse Conti. Le journaliste, qui suivait déjà les flux Bitcoin liant Conti et Black Basta, entame des échanges par e‑mail et monte, avec d’autres experts (HUMINT et cybercriminalité), un canal sécurisé éphémère pour valider les informations. ...

Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial. Principales méthodes décrites: 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement. 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant. 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude. 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session. 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe. Mesures de défense mises en avant: ...