International

🔍 Contexte Publié le 15 juin 2026 par Varonis Threat Labs sur le blog officiel de Varonis, cet article présente la découverte de SearchLeak, une chaîne de vulnérabilités critiques affectant Microsoft 365 Copilot Enterprise. La vulnérabilité a été corrigée par Microsoft sous l’identifiant CVE-2026-42824, avec une sévérité maximale critique. ⚙️ Mécanisme d’attaque : une chaîne en trois étapes SearchLeak combine trois failles distinctes pour former une chaîne d’exploitation complète : Parameter-to-Prompt (P2P) Injection : Le paramètre q de l’URL de Copilot Enterprise Search est transmis directement au moteur IA comme une instruction exécutable, permettant à un attaquant d’injecter des commandes arbitraires. HTML Rendering Race Condition : Pendant la phase de streaming de la réponse Copilot, une balise <img> est rendue par le navigateur avant que le sanitizer de sortie ne s’active, permettant l’envoi d’une requête HTTP vers une URL contrôlée par l’attaquant. CSP Bypass via Bing SSRF : Le domaine *.bing.com étant autorisé dans la Content Security Policy, l’attaquant exploite l’endpoint Bing searchbyimage qui effectue une requête côté serveur vers une URL arbitraire, contournant ainsi la CSP du navigateur. 🎯 Déroulement de l’attaque L’attaquant envoie à la victime un lien vers m365.cloud.microsoft (domaine légitime Microsoft) La victime clique → Copilot interprète le paramètre q comme des instructions Copilot recherche dans la boîte mail, le calendrier, SharePoint, OneDrive Une balise <img> est générée avec les données volées encodées dans l’URL Le navigateur envoie la requête à Bing (autorisé par CSP) Bing effectue un fetch côté serveur vers attacker.com/<DONNÉES_VOLÉES>/img.png L’attaquant récupère les données dans les logs de son serveur 💥 Impact Les données potentiellement exfiltrables incluent : ...

🕵️ Contexte Source : BleepingComputer, publié le 13 juin 2026. L’article rapporte les conclusions de Sygnia sur une campagne d’espionnage baptisée “Operation Highland”, attribuée au groupe Velvet Ant, un acteur de cyberespionnage d’origine chinoise. La campagne a débuté en 2016 et s’est poursuivie pendant 10 ans contre une grande organisation disposant d’un réseau critique isolé (air-gapped). 🎯 Vecteur d’accès initial et pivotement L’attaque débute par la compromission de serveurs exposés sur internet (le produit ou la vulnérabilité spécifique ne sont pas mentionnés). Velvet Ant déploie ensuite : ...

📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday) 🔍 Contexte Le chercheur Nightmare Eclipse (également suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publié sur GitHub un exploit proof-of-concept (PoC) nommé RoguePlanet, ciblant une vulnérabilité zero-day non encore référencée par Microsoft dans Microsoft Windows Defender. ⚙️ Nature de la vulnérabilité RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilégié peut rediriger une opération fichier effectuée par Defender (qui s’exécute en tant que SYSTEM) via des NTFS junction points, afin d’exécuter du code arbitraire au niveau de privilège le plus élevé (Local Privilege Escalation — LPE). ...

🔍 Contexte : Le 10 juin 2026, l’équipe SonicWall Capture Labs Threat Research a publié une analyse technique d’un échantillon du framework C2 Havoc, connu pour ses capacités de furtivité avancées et utilisé dans diverses campagnes malveillantes. ⚙️ Cycle d’infection : L’infection se déroule en deux étapes : Un script VBS légèrement obfusqué télécharge et exécute un binaire malveillant sous forme de bundle MSI (update.msi) Le MSI dépose deux fichiers imitant des composants Microsoft légitimes : EndpointDLP.dll et MpExtMs.exe, dans le répertoire C:\Users\user\AppData\Local\PlatformServices\ EndpointDLP.dll présente un horodatage falsifié à 2070 (timestomping) 🛡️ Techniques d’évasion : ...

📰 Contexte Article de presse publié le 13 juin 2026 sur Politico.eu, relatant une décision gouvernementale américaine imposant à la société d’IA Anthropic de suspendre l’accès à ses derniers modèles pour les utilisateurs non-américains. 🔒 Mesure de contrôle à l’exportation Le gouvernement américain a ordonné à Anthropic de désactiver l’accès à ses modèles Fable 5 et Mythos 5 pour l’ensemble de ses clients non-américains. La justification officielle repose sur deux éléments : ...

🔍 Contexte Publié le 11 juin 2026 par Sekoia Threat Detection & Research (TDR), cet article constitue une rétrospective analytique de deux décennies d’activité d’APT28 (alias Fancy Bear, Forest Blizzard, Sednit, GRU Unit 26165). Il s’inscrit dans un effort coordonné de publication impliquant des agences gouvernementales et des vendeurs privés, dont le FBI, visant à contraindre les opérations cyber du GRU. 🕰️ Ère 2004–2018 : La chaîne d’implants signature APT28 opère une chaîne d’implants stable reposant sur : ...

📰 Source : SecurityAffairs — Date de publication : 5 juin 2026 Cisco publie une alerte concernant CVE-2026-20245 (score CVSS 7.8), une vulnérabilité d’élévation de privilèges affectant Cisco Catalyst SD-WAN Manager (anciennement SD-WAN vManage). La faille permet à un attaquant local authentifié d’exécuter des commandes arbitraires en tant que root via une injection de commande par upload de fichier. 🔍 Mécanisme d’exploitation : La vulnérabilité est due à une validation insuffisante des entrées utilisateur L’attaquant doit disposer de privilèges netadmin sur le système cible Ces privilèges peuvent être obtenus via des identifiants volés ou en chaînant l’exploitation de CVE-2026-20182 ou CVE-2026-20127 L’exploitation peut entraîner des modifications de configuration poussées vers les équipements edge 🌐 Périmètre affecté : ...

🔍 Contexte Publié le 8 juin 2026 sur le blog officiel de Check Point, cet article annonce la découverte et l’exploitation active d’une vulnérabilité critique affectant les produits VPN de l’éditeur. 🚨 Vulnérabilité identifiée CVE-2026-50751 est une vulnérabilité de contournement d’authentification (authentication bypass) de sévérité critique. Elle affecte les déploiements Check Point Remote Access VPN et Mobile Access configurés pour utiliser le protocole d’échange de clés IKEv1 (déprécié). Le défaut repose sur une faille logique dans la validation des certificats, permettant à un attaquant d’établir une session VPN sans posséder de mot de passe valide, contournant ainsi entièrement les mécanismes d’authentification. ...

🔍 Contexte Le 12 juin 2026, watchTowr Labs publie une analyse technique approfondie de CVE-2026-50751, une vulnérabilité de bypass d’authentification (CVSS 9.3) affectant les produits Check Point Remote Access VPN, Mobile Access et Spark Firewall. Check Point a publié des hotfixes le 8 juin 2026. La vulnérabilité est inscrite au CISA KEV et a été exploitée in the wild. 🎯 Produits affectés Les versions Gaia suivantes sont concernées : R80.20.X, R80.40, R81, R81.10, R81.10.X, R81.20, R82, R82.00.X, R82.10 Les versions en fin de support ne reçoivent aucun hotfix. ...

🗓️ Contexte Publié le 12 juin 2026 par l’Office fédéral de la cybersécurité (OFCS), cet article rend compte de la participation suisse à l’exercice «Cyber Europe 2026», organisé par l’Agence de l’Union européenne pour la cybersécurité (ENISA) les 10 et 11 juin 2026. 🎯 Objectif et périmètre de l’exercice «Cyber Europe» est décrit comme le plus grand exercice européen de cybersécurité, réunissant environ 1 000 participants. L’édition 2026 était consacrée à la gestion des cyberincidents dans les secteurs ferroviaire et maritime. ...