Global

Selon BleepingComputer, Microsoft a annoncé que les administrateurs de sécurité pourront bientôt restreindre les interactions d’utilisateurs externes avec les membres de leur organisation dans Microsoft Teams. 🔒 La nouveauté permet de bloquer l’envoi de messages, les appels et les invitations de réunion émanant d’utilisateurs externes vers les collaborateurs d’une organisation. L’objectif est de donner aux équipes de sécurité un contrôle renforcé sur les communications entrantes. Le déploiement est annoncé comme « bientôt », sans autres détails opérationnels dans l’extrait fourni (périmètre exact, calendrier précis ou conditions d’activation non précisés ici). ...

Selon GreyNoise Research (blog), dans un article du 17 décembre 2025, l’équipe a étudié plus de 50 000 payloads liés à la campagne React2Shell ciblant des React Server Components et a analysé leur taille, style et logique pour déterminer leur origine et sophistication. 📊 L’analyse de la distribution des tailles montre que la majorité des tentatives (150–400/200–500 octets) sont du bruit automatisé (scanners tirant des templates standards pour des commandes simples). Un petit volume de payloads lourds (≥1 000 octets) correspond à des charges utiles réelles (ex. crypto-mining, DoS, persistence, élimination de concurrents). Un « middle messy » reflète des variantes de botnets IoT (Mirai) avec des clusters hétérogènes. ...

Selon la documentation Microsoft (Microsoft Defender for Office 365, mise à jour le 2025-12-16), les administrateurs peuvent désormais activer la remédiation automatique pour certains types de clusters d’emails identifiés par Automated investigation and response (AIR), qui exigeait auparavant une approbation SecOps par défaut. Cette évolution permet d’augmenter la protection en accélérant la remédiation de messages malveillants et de réduire la charge SecOps. AIR crée des clusters autour d’un fichier ou d’une URL malveillante détectée, puis propose une action de remédiation si les messages sont en boîtes aux lettres. Les clusters non configurés en automatique restent en Pending action, et les clusters de plus de 10 000 messages ne sont pas remédiés automatiquement. ...

Selon Acronis, des tendances récentes montrent une préférence des attaquants pour des approches simples et peu coûteuses, avec un accès initial via RDP et l’usage d’outillage prêt à l’emploi pour progresser dans les réseaux compromis. L’analyse souligne que la plupart des victimes sont compromises par RDP. Après l’accès initial, les acteurs utilisent des outils standards pour la découverte et le mouvement latéral, ainsi que des exploits d’escalade de privilèges (LPE), des AV killers (notamment via des drivers vulnérables), des terminateurs de processus, des désinstalleurs ciblés et des outils d’accès aux identifiants comme Mimikatz. ...

Source et contexte: Huntress (blog, 9 décembre 2025) analyse un incident triagé le 5 décembre 2025 impliquant l’infostealer macOS AMOS livré via des résultats Google menant à de vraies conversations partagées sur ChatGPT et Grok, empoisonnées pour insérer une commande Terminal malveillante. • Chaîne d’infection: un utilisateur cherche « clear disk space on macOS », clique un résultat de conversation ChatGPT/Grok légitime et copie/colle une commande Terminal présentée comme « sûre ». Cette commande contient une URL encodée en base64 vers un script bash qui déclenche une infection multi‑étapes. Aucune alerte Gatekeeper, aucun téléchargement manuel apparent: initial access par empoisonnement SEO/IA et copier-coller dans le Terminal. ...

Selon Forbes, Google a confirmé le 1er décembre des attaques en cours contre Android et a publié une mise à jour d’urgence pour les Pixel, tandis que la plupart des utilisateurs Samsung n’ont pas encore accès aux correctifs; la CISA a émis un avertissement le lendemain en exigeant des mises à jour ou l’arrêt d’usage des téléphones par le personnel fédéral. • Google indique que CVE-2025-48633 et CVE-2025-48572 « peuvent faire l’objet d’une exploitation limitée et ciblée », permettant un déni de service à distance sur les smartphones visés, sans privilèges d’exécution supplémentaires. ⚠️📱 ...

Selon Cloudflare (blog), un incident de disponibilité le 5 décembre 2025 a provoqué des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectué pour protéger contre la vulnérabilité critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touché entre 08:47 et 09:12 UTC. Les clients impactés étaient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activés; presque toutes les requêtes renvoyaient HTTP 500, à l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le réseau Chine n’a pas été impacté. ⏱️ ...

Billet de blog technique signé par William Beasley (mis à jour le 2 décembre 2025), présentant deux outils de Raspberry Pi — rpi-image-gen et rpi-sb-provisioner — visant à passer du prototype à un système de production reproductible et sécurisé. • rpi-image-gen: l’outil assemble des images Linux Debian via mmdebstrap en combinant des profils descriptifs, des « image layouts » et des fichiers de configuration YAML. Il privilégie les binaires précompilés pour accélérer les builds (quelques minutes) et simplifier la maintenance, tout en permettant des paquets sur mesure (ex. noyau custom en amont). Une fois le système de fichiers finalisé, Syft génère une SBOM pour l’audit de sécurité et l’alimentation d’outils externes de scan CVE. Les couches définissent paquets/commandes et variables (avec validation regex) afin d’éviter les mauvaises configurations. ...

Source : Wordfence (blog). Contexte : une vulnérabilité critique d’élévation de privilèges dans le plugin WordPress King Addons for Elementor (>10 000 installations actives) est activement exploitée depuis fin octobre 2025. Le correctif est disponible depuis le 25 septembre 2025 (version 51.1.35). 🚨 Vulnérabilité et impact La fonction d’inscription AJAX handle_register_ajax() accepte un paramètre user_role non restreint, permettant à un attaquant non authentifié de se créer un compte avec le rôle administrator. Impact : compromission complète du site (installation de plugins/thèmes malveillants, backdoors, modification de contenus, redirections, injection de spam). 🗓️ Chronologie et statistiques ...

Selon react.dev, une vulnérabilité critique permettant une exécution de code à distance non authentifiée a été découverte dans React Server Components et divulgée sous CVE-2025-55182 (score CVSS 10.0). Le défaut provient d’un problème dans la façon dont React décode les charges utiles envoyées aux endpoints de React Server Functions, permettant à un attaquant de provoquer une RCE via une requête HTTP malveillante. ⚠️ Portée et impact La faille touche les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 de: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack. Même si une application n’implémente pas d’endpoints Server Function, elle peut être vulnérable si elle supporte React Server Components. Les applications React sans serveur, ou sans framework/outil supportant RSC, ne sont pas affectées. Correctifs disponibles ...