Microsoft durcit les outils de support : identités dédiées, RBAC au cas par cas et télémétrie renforcée

Source : Microsoft Security Blog — Raji Dani (Deputy CISO) dĂ©crit les risques inhĂ©rents aux opĂ©rations de support client et l’architecture de durcissement mise en place chez Microsoft face aux attaques, y compris celles d’acteurs Ă©tatiques comme Midnight Blizzard. Microsoft souligne que les outils de support disposent d’accĂšs puissants convoitĂ©s par les cyberattaquants pour atteindre des donnĂ©es sensibles et des environnements critiques. L’approche vise Ă  empĂȘcher le mouvement latĂ©ral et Ă  dĂ©tecter prĂ©cocement les anomalies dans l’infrastructure de support. ...

16 octobre 2025 Â· 2 min

Microsoft révoque 200+ certificats abusés par Vanilla Tempest pour diffuser du ransomware

Selon Microsoft, plus de 200 certificats numĂ©riques exploitĂ©s par le groupe Vanilla Tempest (Ă©galement suivi comme VICE SPIDER et Vice Society) ont Ă©tĂ© rĂ©voquĂ©s, ce qui a perturbĂ© une campagne en cours mise au jour fin septembre. Les acteurs menaçants usurpaient des installations de Microsoft Teams afin d’infiltrer des rĂ©seaux d’entreprise et de dĂ©ployer du ransomware. L’opĂ©ration met en Ă©vidence l’évolution des tactiques des opĂ©rateurs de ransomware, qui dĂ©tournent des logiciels Ă  l’apparence lĂ©gitime pour contourner les dĂ©fenses de sĂ©curitĂ©. 🚹 ...

16 octobre 2025 Â· 1 min

Operation Zero Disco : exploitation de la faille SNMP Cisco (CVE-2025-20352) pour déployer un rootkit sur des équipements réseau

Selon Trend Micro (Trend Research), l’opĂ©ration « Operation Zero Disco » exploite la vulnĂ©rabilitĂ© Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mĂ©moire d’IOSd sur des Ă©quipements rĂ©seau. La campagne vise des systĂšmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpĂ©es et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est Ă©galement rapportĂ©e, tandis que l’ASLR offre une protection partielle sur les modĂšles plus rĂ©cents. ...

16 octobre 2025 Â· 3 min

Oracle E‑Business Suite: faille critique pre-auth RCE (CVE-2025-61882) activement exploitĂ©e

Selon Imperva (blog), une vulnĂ©rabilitĂ© critique CVE-2025-61882 affecte Oracle E‑Business Suite 12.2.3 Ă  12.2.14, ciblant le composant Concurrent Processing/BI Publisher Integration, et fait l’objet d’exploitations actives Ă  grande Ă©chelle. đŸ”„ VulnĂ©rabilitĂ© et impact: Il s’agit d’une exĂ©cution de code Ă  distance prĂ©-authentification (RCE). Les fonctions finance, RH et ERP cƓur sont impactĂ©es, exposant les organisations Ă  un risque majeur. 🚹 Exploitation active: Des acteurs multiples, dont Cl0p, exploitent cette faille depuis aoĂ»t. Imperva rapporte plus de 557 000 tentatives d’attaque en une seule journĂ©e au niveau mondial. ...

16 octobre 2025 Â· 2 min

StealthServer : un backdoor Go multiplateforme attribué à APT36 cible Windows et Linux

Selon un billet de blog technique de XLab de QiAnXin (rĂ©fĂ©rence fournie), des chercheurs ont identifiĂ© StealthServer, un backdoor sophistiquĂ© ciblant Ă  la fois Windows et Linux, attribuĂ© au groupe APT36. La distribution repose sur de l’ingĂ©nierie sociale avec des leurres Ă  thĂ©matique politique et militaire, livrant des charges utiles dĂ©guisĂ©es en documents PDF. Le malware offre des capacitĂ©s d’exfiltration de fichiers et d’exĂ©cution de commandes Ă  distance, tout en recourant Ă  des techniques anti-analyse Ă©tendues, notamment l’injection de code inutile et l’obfuscation du trafic. Plusieurs variantes indiquent un dĂ©veloppement actif, avec une transition des communications de TCP vers WebSocket. ...

16 octobre 2025 Â· 3 min

Une attaque dite « Pixnapping » peut ĂȘtre rĂ©alisĂ©e par une application malveillante ne nĂ©cessitant aucune permission sous Android

Pixnapping — nouvelle attaque Android volant les pixels Ă  la souris (Ars Technica, 13 oct. 2025) Une Ă©quipe acadĂ©mique a prĂ©sentĂ© Pixnapping, une attaque Android capable de voler codes 2FA, messages et autres donnĂ©es visibles Ă  l’écran en moins de 30 secondes, mĂȘme si l’application malveillante n’a aucune permission systĂšme. L’attaque a Ă©tĂ© dĂ©montrĂ©e sur plusieurs tĂ©lĂ©phones Pixel et sur le Samsung Galaxy S25, et repose sur un canal auxiliaire temporel liĂ© au rendu graphique : en exĂ©cutant des opĂ©rations graphiques sur des coordonnĂ©es prĂ©cises et en mesurant les temps de rendu, l’appli malveillante peut dĂ©duire le contenu pixel par pixel de l’app cible (par ex. un chiffre 2FA). ...

16 octobre 2025 Â· 3 min

Campagne de phishing usurpant Microsoft pour des escroqueries au support technique

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mĂȘlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accĂšs Ă  distance aux systĂšmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hĂ©bergĂ©s sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sĂ©curitĂ© Microsoft et simulent un verrouillage du navigateur. ...

14 octobre 2025 Â· 2 min

Des shells UEFI signés permettent de contourner Secure Boot sur ~200 000 appareils Framework

Selon Eclypsium (billet de blog), des outils de diagnostic UEFI signĂ©s par Microsoft et utilisĂ©s sur des appareils Framework peuvent ĂȘtre dĂ©tournĂ©s comme des backdoors signĂ©es, permettant de contourner Secure Boot et d’installer une persistance prĂ©-OS tout en donnant l’illusion que la sĂ©curitĂ© est active. Les chercheurs expliquent que le cƓur du problĂšme rĂ©side dans la commande mm des shells UEFI signĂ©s, qui offre un accĂšs direct en lecture/Ă©criture Ă  la mĂ©moire systĂšme. En manipulant des composants du Security Architectural Protocol, un attaquant peut neutraliser la vĂ©rification de signature, puis charger des modules UEFI non signĂ©s. L’attaque peut ĂȘtre automatisĂ©e pour s’exĂ©cuter au dĂ©marrage, assurant un compromis persistant avant l’OS. ...

14 octobre 2025 Â· 2 min

Deux failles critiques dans les modules GPU NVIDIA pour Linux permettent une Ă©lĂ©vation de privilĂšges (CVE‑2025‑23300, CVE‑2025‑23280)

Selon Quarkslab (rĂ©fĂ©rence citĂ©e), des chercheurs ont dĂ©taillĂ© deux vulnĂ©rabilitĂ©s critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et prĂ©sentĂ© une chaĂźne d’exploitation complĂšte menant Ă  l’élĂ©vation de privilĂšges; NVIDIA a publiĂ© des correctifs dans la mise Ă  jour d’octobre 2025 des GPU Display Drivers. ⚠ — VulnĂ©rabilitĂ©s et impact — CVE-2025-23300: dĂ©rĂ©fĂ©rencement de pointeur nul dans le module nvidia-uvm, dĂ©clenchĂ© lors du mappage d’allocations NV01_MEMORY_DEVICELESS via l’ioctl UVM_MAP_EXTERNAL_ALLOCATION, dĂ» Ă  un champ pGpu non vĂ©rifiĂ©. CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de donnĂ©es Red-Black tree). Le kernel oops consĂ©cutif libĂšre la pile avant l’exĂ©cution de threadStateFree(), entraĂźnant l’UAF. Impact: obtention de primitives de lecture/Ă©criture noyau et Ă©lĂ©vation de privilĂšges par un attaquant local non privilĂ©giĂ©. — ChaĂźne d’exploitation (aperçu technique) — ...

14 octobre 2025 Â· 2 min

Elastic Security Labs publie nightMARE v0.16, une boüte à outils Python pour l’analyse de malwares

Source: Elastic Security Labs. Elastic Security Labs annonce nightMARE v0.16, une bibliothĂšque Python open source dĂ©diĂ©e Ă  l’analyse de malwares et au reverse engineering, accompagnĂ©e d’un tutoriel dĂ©taillĂ© pour construire un extracteur de configuration du stealer LUMMA. đŸ› ïž nightMARE v0.16 s’appuie sur le framework Rizin (via rz-pipe) pour le dĂ©sassemblage et l’analyse, unifiant en un seul socle des capacitĂ©s auparavant rĂ©parties sur plusieurs dĂ©pendances (remplacement de LIEF, Capstone, SMDA). Le module propose de l’analyse statique, de l’émulation d’instructions, et des implĂ©mentations d’algorithmes spĂ©cifiques aux malwares. ...

14 octobre 2025 Â· 2 min
Derniùre mise à jour le: 8 juillet 2026 📝