Global

SecurityWeek rapporte que Microsoft a désactivé la prévisualisation des fichiers téléchargés pour contrer une fuite potentielle de hachages NTLM. Dans certains fichiers récupérés depuis Internet, des balises HTML pointant vers des chemins externes pouvaient être utilisées pour exfiltrer des hachages NTLM au moment de l’aperçu. • Vulnérabilité: des balises HTML dans des fichiers téléchargés, référencées vers des chemins externes, pouvaient déclencher une demande d’authentification et exposer des hachages NTLM lors de la prévisualisation du fichier. ...

Selon Seqrite, en août 2025, le groupe Scattered LAPSUS$ Shiny Hunters (SLSH) a émergé en combinant des tactiques de LAPSUS$, ShinyHunters et Scattered Spider, et en opérant un modèle d’Extortion-as-a-Service. Les cibles incluent les secteurs BFSI, technologie et gouvernement. Le groupe est lié à des intrusions touchant Discord, l’écosystème Salesforce et Red Hat, via vishing et vol d’identifiants. SLSH a exploité deux vulnérabilités critiques (CVSS 9.9) : CVE-2025-61882 permettant une exécution de code à distance non authentifiée sur Oracle E‑Business Suite, et CVE-2025-10725 permettant une élévation de privilèges dans Red Hat OpenShift AI. ...

Selon BleepingComputer, une vulnérabilité de haute gravité (CVE-2025-62518) affecte la bibliothèque Rust désormais abandonnée async-tar ainsi que ses forks, et peut être exploitée pour obtenir une exécution de code à distance (RCE) sur des systèmes exécutant des logiciels non patchés. L’article met en avant le caractère critique de la faille et le fait qu’elle touche non seulement le projet d’origine, mais aussi ses dérivés. ⚠️ La conséquence principale est la possibilité pour un attaquant d’exécuter du code arbitraire à distance. ...

Selon Darknet.org.uk, CloudConqueror est présenté comme un outil qui cartographie et abuse de l’API AWS CloudControl pour des activités de découverte, d’énumération de ressources et de persistance. L’article met en avant que l’outil sert autant aux attaquants qu’aux défenseurs, en montrant comment tester la couverture de détection et renforcer les environnements cloud ☁️🛡️. Points clés mentionnés: Cartographie de la surface d’attaque de l’API AWS CloudControl. Abus de l’API pour la découverte et l’énumération de ressources. Mise en place de mécanismes de persistance. TTPs observés (d’après l’extrait): ...

Selon BleepingComputer, une nouvelle campagne malveillante cible les développeurs macOS en usurpant des plateformes populaires (Homebrew, LogMeIn et TradingView) afin de diffuser des malwares voleurs d’informations. La campagne repose sur l’usurpation de sites/plateformes légitimes (Homebrew, LogMeIn, TradingView) qui servent de leurre pour amener les victimes à installer des logiciels compromis. Les charges utiles identifiées incluent des infostealers tels que AMOS (Atomic macOS Stealer) et Odyssey. Les cibles explicitement mentionnées sont les développeurs macOS, attirés par des outils ou plateformes familiers et largement utilisés dans leurs activités. ...

Source: Binarly Research – Dans une étude à grande échelle, Binarly publie une analyse des mitigations de sécurité dans l’écosystème du firmware UEFI, couvrant 5 477 images de firmware et 2,2 millions de modules. Principaux constats chiffrés: Seulement 0,12% des modules implémentent des stack canaries et 94% sont dépourvus de Stack Guard. 88% des firmwares embarquent un microcode obsolète (et 71% sont jugés vulnérables à cause de microcodes dépassés dans l’analyse technique). 68% des modules DXE ne respectent pas les exigences d’alignement pour la protection NX/DEP, laissant des sections de code inscriptibles/exploitables. 6,3% des firmwares utilisent des clés Boot Guard divulguées. Seuls 9,38% appliquent correctement les politiques de protection mémoire DXE; 13% manquent la mitigation RSB stuffing. Détails techniques notables: ...

🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposées Les chercheurs de Wiz Research ont découvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant à la fois le VSCode Marketplace et Open VSX, une plateforme utilisée par des forks alimentés par l’IA tels que Cursor et Windsurf. Plus de 550 secrets valides ont été trouvés dans 500 extensions publiées par des centaines d’éditeurs. Parmi les fuites, plus d’une centaine concernaient des jetons d’accès capables de mettre à jour directement les extensions, exposant potentiellement 150 000 installations à un risque de compromission via des mises à jour malveillantes. ...

« BlackSuit Blitz » : une attaque dévastatrice contre un fabricant mondial d’équipements Le groupe Ignoble Scorpius, opérant le rançongiciel BlackSuit, a récemment frappé un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisé “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut déclencher une crise d’entreprise majeure. Du vishing à l’exfiltration de 400 Go L’attaque a débuté par un appel de hameçonnage vocal (vishing) : un employé, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail. À partir de là, les assaillants ont : ...

Source : Microsoft Security Blog — Raji Dani (Deputy CISO) décrit les risques inhérents aux opérations de support client et l’architecture de durcissement mise en place chez Microsoft face aux attaques, y compris celles d’acteurs étatiques comme Midnight Blizzard. Microsoft souligne que les outils de support disposent d’accès puissants convoités par les cyberattaquants pour atteindre des données sensibles et des environnements critiques. L’approche vise à empêcher le mouvement latéral et à détecter précocement les anomalies dans l’infrastructure de support. ...

Selon Imperva (blog), une vulnérabilité critique CVE-2025-61882 affecte Oracle E‑Business Suite 12.2.3 à 12.2.14, ciblant le composant Concurrent Processing/BI Publisher Integration, et fait l’objet d’exploitations actives à grande échelle. 🔥 Vulnérabilité et impact: Il s’agit d’une exécution de code à distance pré-authentification (RCE). Les fonctions finance, RH et ERP cœur sont impactées, exposant les organisations à un risque majeur. 🚨 Exploitation active: Des acteurs multiples, dont Cl0p, exploitent cette faille depuis août. Imperva rapporte plus de 557 000 tentatives d’attaque en une seule journée au niveau mondial. ...