Global

🔍 Contexte Article publié le 22 mars 2026 sur Ars Technica, rédigé par Dan Goodin. L’incident a débuté dans les premières heures du jeudi 20 mars 2026 et a été confirmé par Itay Shakury, mainteneur de Trivy, scanner de vulnérabilités open source d’Aqua Security comptant 33 200 étoiles sur GitHub. 💥 Nature de l’attaque Les attaquants, se désignant sous le nom Team PCP, ont exploité des credentials volés (issus d’une compromission antérieure du mois précédent sur l’extension VS Code de Trivy) pour effectuer des force-push Git sur les tags existants du dépôt aquasecurity/trivy-action. Cette technique contourne les mécanismes de protection habituels et n’apparaît pas dans l’historique des commits, évitant ainsi les notifications et les défenses classiques. ...

🔍 Contexte Le 11 mars 2026, l’équipe DREAM Security Research Team a divulgué une vulnérabilité critique sur la liste de diffusion officielle bug-inetutils de GNU. La divulgation concerne GNU Inetutils telnetd, le serveur Telnet du projet GNU. 🐛 Vulnérabilité Un buffer overflow pré-authentification a été identifié dans le gestionnaire de sous-option LINEMODE SLC (Set Local Characters) de telnetd. La faille se situe dans le fichier telnetd/slc.c, affectant les fonctions add_slc(), process_slc() et do_opt_slc(), ainsi que le buffer slcbuf (ligne 59). ...

🔍 Contexte Publié le 19 mars 2026 par SecureLayer7 (Sandeep Kamble, outil Bugdazz / modèle Rabit0), cet article présente la découverte et l’analyse technique de CVE-2026-22730, une vulnérabilité d’injection SQL de sévérité haute (CVSS 8.8) affectant le composant MariaDB vector store de Spring AI. La découverte a été faite lors d’un audit de pré-production pour une entreprise de services financiers déployant un assistant IA interne basé sur une architecture RAG. ...

🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow. 🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel. ...

🛠️ Contexte Publié le 22 mars 2026 sur GitHub (compte 0xROOTPLS), Fritter est présenté comme un outil offensif open-source, fork lourdement modifié du projet Donut de TheWover et Odzhan. 🔍 Description technique Fritter est un générateur de shellcode position-independent (PIC) conçu pour l’exécution en mémoire de plusieurs types de charges utiles : VBScript, JScript Exécutables (EXE), DLL Assemblages .NET L’outil se distingue de Donut par une refonte complète des couches internes : ...

📅 Source : Microsoft Sentinel Blog (techcommunity.microsoft.com), publié le 20 mars 2026 par Tomas Beerthuis (Microsoft). Contexte Microsoft annonce la préversion publique (Public Preview) de l’Unified Role Based Access Control (URBAC) pour Microsoft Sentinel, avec une disponibilité prévue au 1er avril 2026. Cette fonctionnalité étend le modèle RBAC unifié de Microsoft Defender à Sentinel et introduit un contrôle d’accès au niveau des lignes (row-level access). Nouvelles fonctionnalités URBAC pour Sentinel 🔐 Gestion des permissions Sentinel directement depuis le portail Microsoft Defender (https://security.microsoft.com) Modèle de permissions unifié pour Sentinel et les autres workloads Defender Migration facile des rôles Azure Sentinel existants via import automatique Prise en charge des workspaces Sentinel Analytics et Lake Sentinel Scoping (contrôle au niveau des lignes) Création et assignation de scope tags aux utilisateurs ou groupes Marquage des données via des règles KQL dans Table Management (utilisant des Data Collection Rules) Accès restreint aux alertes, incidents et requêtes de chasse avancée selon le scope Le champ SentinelScope_CF permet de référencer le scope dans les règles de détection ⚠️ Les données historiques (déjà ingérées) ne sont pas rétroactivement taguées Correspondance des rôles Rôle Sentinel Permissions URBAC Reader Security data basic (read) Responder + Alerts (manage), Response (manage) Contributor + Detection tuning (manage) Prérequis Accès au portail Microsoft Defender Rôle Global Administrator + propriétaire d’abonnement OU User Access Administrator + Sentinel Contributor Workspaces Sentinel onboardés dans le portail Defender Permission Security Authorization (Manage) et Data Operations (Manage) pour la gestion des scopes Limitations notables Les tables XDR ne sont pas encore scopables Le scoping des données Defender ingérées dans Sentinel ne propage pas les scopes d’origine (Device Groups, Cloud Scopes) Le scoping des ressources (règles de détection, playbooks, automation rules) est prévu dans les prochains mois 📌 Type d’article : Annonce de mise à jour produit. But principal : informer les administrateurs de sécurité de la disponibilité d’une nouvelle fonctionnalité de gestion des accès dans Microsoft Sentinel. ...

🔍 Contexte Publié sur GitHub par l’utilisateur daem0nc0re dans le dépôt PrivFu (907 étoiles, 129 forks), ce fichier source C# constitue un proof-of-concept (PoC) démontrant l’utilisation du privilège Windows SeLockMemoryPrivilege. ⚙️ Fonctionnement technique Le PoC illustre comment un processus disposant du privilège SeLockMemoryPrivilege peut : Appeler GetLargePageMinimum() (kernel32.dll) pour obtenir la taille minimale d’une Large Page Allouer une Large Page en mémoire physique via VirtualAlloc() avec les flags MEM_COMMIT | MEM_RESERVE | MEM_LARGE_PAGES Libérer la mémoire allouée via VirtualFree() Gérer proprement l’interruption Ctrl+C avec un handler de nettoyage 🛠️ APIs Windows utilisées kernel32.dll → GetLargePageMinimum, VirtualAlloc, VirtualFree Flags d’allocation : MEM_LARGE_PAGES, MEM_COMMIT, MEM_RESERVE Protection mémoire : PAGE_READWRITE 🎯 Objectif du PoC Le code démontre qu’un attaquant ou un processus disposant de SeLockMemoryPrivilege peut consommer de la mémoire physique via des Large Pages ou AWE (Address Windowing Extensions), ce qui peut être exploité à des fins de déni de service local ou d’abus de privilèges Windows. ...

🔍 Contexte Publié le 22 mars 2026 par Group-IB, ce rapport analyse en profondeur les tactiques, techniques et procédures (TTPs) du groupe The Gentlemen, une opération Ransomware-as-a-Service (RaaS) émergente composée d’environ 20 membres, anciennement connue sous le nom ArmCorp en tant qu’affilié de Qilin. 🧑‍💻 Origine et historique du groupe L’opération est administrée par un russophone utilisant le pseudonyme hastalamuerte. Le groupe s’est séparé de Qilin suite à un litige financier de 48 000 USD de commission non versée, rendu public le 22 juillet 2025 sur le forum RAMP. Un premier échantillon Windows du ransomware avait déjà été uploadé sur VirusTotal le 17 juillet 2025 (SHA256 : 51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2), confirmant que le développement était en cours avant la rupture publique avec Qilin. Le DLS est devenu public début septembre 2025. ...

🔍 Contexte Source : IT-Connect, publié le 20 mars 2026. Cet article rapporte un second incident de sécurité majeur affectant Trivy, le scanner de vulnérabilités open source maintenu par Aqua Security, en l’espace de trois semaines. 📅 Chronologie des incidents Fin février 2026 : Un bot autonome nommé hackerbot-claw exploite une faille dans un workflow GitHub Actions pour dérober un jeton d’accès et prendre le contrôle du dépôt GitHub de Trivy. Le dépôt disparaît temporairement de GitHub. 19 mars 2026 : Un nouvel incident survient. Le compte d’automatisation officiel aqua-bot publie une version malveillante v0.69.4 de Trivy. Une balise v0.70.0 est également brièvement créée. ⚙️ Mécanisme d’attaque Selon le rapport de StepSecurity, l’opération GitHub Action aquasecurity/trivy-action a été modifiée pour pointer vers des commits corrompus contenant un script malveillant. Ce script : ...

🗓️ Contexte Article publié le 19 mars 2026 sur pbxscience.com, relatant un changement de comportement par défaut dans Ubuntu 26.04 LTS (nom de code Resolute Raccoon, sortie prévue le 23 avril 2026) concernant la gestion des mots de passe dans la commande sudo. 🔧 Changement technique Depuis la création de sudo en 1980 par Bob Coggeshall et Cliff Spencer à l’Université de New York à Buffalo (SUNY Buffalo), la saisie du mot de passe au prompt sudo ne produisait aucun retour visuel — ni astérisques, ni points, ni curseur en mouvement. Ce comportement silencieux était intentionnel, conçu pour contrer le shoulder surfing (comptage des frappes clavier). ...