Monde

Source: Microsoft (Microsoft Digital Defense Report). Contexte: Bilan des incidents étudiés par les équipes sécurité de Microsoft, avec une analyse signée par le CISO Igor Tsyganskiy. • Principaux constats: dans 80% des incidents analysés, les attaquants ont cherché à voler des données 🔐. Plus de la moitié des attaques dont le mobile est connu sont liées à l’extorsion ou au ransomware, soit au moins 52% motivées par le gain financier 💰, tandis que les attaques d’espionnage ne représentent que 4%. ...

Selon BleepingComputer, F5 a publié des mises à jour de sécurité destinées à corriger des vulnérabilités affectant BIG‑IP, après que ces failles ont été volées lors d’une intrusion détectée le 9 août 2025. 🔒 F5 publie des correctifs de sécurité après le vol de failles BIG-IP La société de cybersécurité F5 a publié des mises à jour pour corriger 44 vulnérabilités, dont certaines avaient été dérobées lors d’une cyberattaque détectée le 9 août 2025. L’entreprise a confirmé que des hackers soutenus par un État ont accédé à ses systèmes et volé du code source ainsi que des informations sur des failles de sécurité non divulguées affectant les produits BIG-IP. ...

Selon Microsoft, plus de 200 certificats numériques exploités par le groupe Vanilla Tempest (également suivi comme VICE SPIDER et Vice Society) ont été révoqués, ce qui a perturbé une campagne en cours mise au jour fin septembre. Les acteurs menaçants usurpaient des installations de Microsoft Teams afin d’infiltrer des réseaux d’entreprise et de déployer du ransomware. L’opération met en évidence l’évolution des tactiques des opérateurs de ransomware, qui détournent des logiciels à l’apparence légitime pour contourner les défenses de sécurité. 🚨 ...

Selon Trend Micro (Trend Research), l’opération « Operation Zero Disco » exploite la vulnérabilité Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mémoire d’IOSd sur des équipements réseau. La campagne vise des systèmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpées et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est également rapportée, tandis que l’ASLR offre une protection partielle sur les modèles plus récents. ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...

Selon Eclypsium (billet de blog), des outils de diagnostic UEFI signés par Microsoft et utilisés sur des appareils Framework peuvent être détournés comme des backdoors signées, permettant de contourner Secure Boot et d’installer une persistance pré-OS tout en donnant l’illusion que la sécurité est active. Les chercheurs expliquent que le cœur du problème réside dans la commande mm des shells UEFI signés, qui offre un accès direct en lecture/écriture à la mémoire système. En manipulant des composants du Security Architectural Protocol, un attaquant peut neutraliser la vérification de signature, puis charger des modules UEFI non signés. L’attaque peut être automatisée pour s’exécuter au démarrage, assurant un compromis persistant avant l’OS. ...

Selon Quarkslab (référence citée), des chercheurs ont détaillé deux vulnérabilités critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et présenté une chaîne d’exploitation complète menant à l’élévation de privilèges; NVIDIA a publié des correctifs dans la mise à jour d’octobre 2025 des GPU Display Drivers. ⚠️ — Vulnérabilités et impact — CVE-2025-23300: déréférencement de pointeur nul dans le module nvidia-uvm, déclenché lors du mappage d’allocations NV01_MEMORY_DEVICELESS via l’ioctl UVM_MAP_EXTERNAL_ALLOCATION, dû à un champ pGpu non vérifié. CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de données Red-Black tree). Le kernel oops consécutif libère la pile avant l’exécution de threadStateFree(), entraînant l’UAF. Impact: obtention de primitives de lecture/écriture noyau et élévation de privilèges par un attaquant local non privilégié. — Chaîne d’exploitation (aperçu technique) — ...

Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php. Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net. ...

Selon Synacktiv (analyse CSIRT), LinkPro a été découvert lors d’une investigation d’une compromission d’infrastructures AWS. L’étude fournit une analyse technique détaillée d’un rootkit eBPF sophistiqué ciblant Linux, ses vecteurs d’infection, ses modules, ses capacités C2, ainsi que des IOCs et des règles YARA. • Chaîne d’attaque et contexte: exploitation de Jenkins CVE-2024-23897 entraînant le déploiement d’images Docker malveillantes à travers des clusters EKS (Kubernetes sur AWS). • Composants: malware en Golang embarquant quatre modules ELF: une bibliothèque partagée (libld.so), un module noyau (arp_diag.ko), et deux programmes eBPF dédiés à la dissimulation et à l’activation réseau. ...

Selon BleepingComputer, Microsoft a rappelé que Exchange Server 2016 et Exchange Server 2019 ont atteint leur fin de support et a conseillé aux administrateurs IT de planifier une transition. Microsoft a officiellement annoncé la fin du support pour Exchange Server 2016 et 2019 à compter du 14 octobre 2025. L’entreprise invite les administrateurs à mettre à jour leurs serveurs vers Exchange Server Subscription Edition (SE) ou à migrer vers Exchange Online, afin de rester protégés contre les vulnérabilités futures. ...