Monde

Source: BleepingComputer — Dans le cadre du Patch Tuesday d’octobre 2025, Microsoft a diffusé des mises à jour de sécurité corrigeant un total de 172 vulnérabilités, incluant six failles zero-day. 🛡️ Mise à jour majeure: 172 vulnérabilités corrigées. ⚠️ Criticité notable: 6 zero-day incluses dans ce lot de correctifs. L’annonce met l’accent sur l’ampleur du lot de correctifs mensuels et signale la présence de plusieurs failles de type zero-day, soulignant l’importance de ce cycle de mises à jour. ...

Selon BleepingComputer, Microsoft a publié la mise à jour cumulative KB5066791 pour Windows 10, présentée comme la dernière mise à jour gratuite alors que le système arrive en fin de cycle de support. — Principaux points — Produit concerné : Windows 10 Mise à jour : KB5066791 Nature : mise à jour cumulative Statut : dernière mise à jour gratuite Contexte : fin du cycle de support de Windows 10 Cette annonce marque « la fin d’une ère » pour Windows 10, la publication de KB5066791 scellant la phase finale de son support. ...

Selon Horizon3.ai (attaque research), un zero‑day CVE‑2025‑11371 est activement exploité contre Gladinet CentreStack et Triofox, affectant toutes les versions jusqu’à 16.4.10315.56368 et antérieures. 🚨 La faille est une LFI non authentifiée permettant la lecture arbitraire de fichiers, l’exfiltration de la machineKey et la forge de ViewState signés pour obtenir une exécution de code à distance (RCE). Aucun patch n’est disponible à ce stade. Détails techniques clés: Vulnérabilité: Local File Inclusion non authentifiée au sein de l’application web. Chaîne d’attaque: Lecture de Web.config via la LFI, Extraction de la machineKey, Forge de payloads ViewState signés, Désérialisation côté serveur aboutissant à la RCE. Mesures de mitigation temporaires mentionnées: ...

Selon une publication d’Omer Mayraz, une vulnérabilité critique baptisée « CamoLeak » affectait GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code depuis des dépôts privés et le contrôle des réponses de Copilot. GitHub a corrigé le problème en désactivant complètement le rendu des images dans Copilot Chat au 14 août 2025. • Découverte et impact. En juin 2025, l’auteur identifie une faille (CVSS 9.6) dans GitHub Copilot Chat qui, via prompt injection à distance, permet d’orienter les réponses (incluant la suggestion de code malveillant ou de liens) et d’exfiltrer des données de dépôts privés auxquels l’utilisateur victime a accès. Le comportement tient au fait que Copilot agit avec les mêmes permissions que l’utilisateur. ...

Selon Huntress (blog), une compromission étendue de dispositifs SonicWall SSLVPN a touché plus de 100 comptes répartis sur 16 environnements clients, avec des connexions malveillantes observées à partir du 4 octobre. L’enquête met en évidence l’usage d’identifiants valides plutôt que du bruteforce, et une origine récurrente des connexions depuis l’adresse IP 202.155.8[.]73. 🚨 Sur le plan technique, les attaquants ont procédé à des authentifications rapides sur de multiples comptes, particulièrement entre les 4 et 6 octobre. Les sessions présentaient des comportements post-exploitation variables : certaines se déconnectaient rapidement, tandis que d’autres évoluaient vers du scan réseau et des tentatives d’accès à des comptes Windows locaux. ...

CYFIRMA publie un rapport sectoriel sur 90 jours détaillant l’activité cyber dans l’énergie & utilities. Panorama sectoriel 📈 Le secteur se classe 12e-13e sur 14 en volume d’activité malveillante. Des campagnes APT ont touché 3 opérations sur 22 observées (14%), dans 17 pays et via des vecteurs variés. Les incidents de ransomware ont augmenté de 54% pour atteindre 43 victimes, le secteur restant toutefois relativement moins prioritaire pour les attaquants en raison de sa dépendance à l’OT. L’activité souterraine liée au secteur est restée stable (2,27% de part), dominée par les sujets fuites de données et exfiltrations. ...

Selon Huntress, des acteurs malveillants exploitent activement CVE-2025-11371, une vulnérabilité de type LFI non authentifiée affectant les produits Gladinet CentreStack et Triofox, avec au moins trois clients impactés et aucune mise à jour corrective disponible à ce stade. • Nature de la faille: Local File Inclusion (LFI) non authentifiée permettant l’accès à des fichiers locaux sensibles. Les versions touchées incluent également des versions postérieures à 16.4.10315.56368 (celles corrigées pour CVE-2025-30406). ...

Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifié lors d’une réponse à incident, et met en évidence ses fonctions de compromission avancées et ses techniques d’évasion. L’outil, attribué à un auteur indonésien, offre des capacités complètes de post‑exploitation : navigation du système de fichiers, exécution de commandes, manipulation/édition de fichiers, modification des permissions, téléversement de fichiers, et accès/gestion de bases de données via Adminer. Les paramètres sont URL‑encodés et peu obfusqués, laissant des traces dans les journaux du serveur. ...

Source: Expel (blog threat intelligence) — analyse de Marcus Hutchins. Contexte: observation d’une variante de ClickFix exploitant le cache du navigateur pour déposer un ZIP malveillant, tout en se faisant passer pour un vérificateur de conformité Fortinet. 🎣 Leurre et procédé ClickFix: la page de phishing brandée Fortinet affiche un faux chemin \\Public\Support\VPN\ForticlientCompliance.exe. Un clic copie en réalité une commande beaucoup plus longue, remplie d’espaces pour masquer la partie malveillante. Collée dans la barre d’adresse de l’Explorateur, elle lance conhost.exe --headless puis PowerShell en arrière-plan, la portion visible n’étant qu’un commentaire. ...

Selon FortiGuard Labs (Fortinet), une nouvelle campagne de malware Stealit exploite la fonctionnalité Node.js Single Executable Application (SEA) pour empaqueter et diffuser des charges utiles sous forme de binaires autonomes, dans le but d’échapper à la détection. La menace est distribuée via de faux installateurs de jeux et de VPN sur des plateformes de partage de fichiers 🎮. Stealit opère comme un RAT commercial (malware-as-a-service) proposé par abonnement, offrant des capacités de vol de données, accès à distance, contrôle de la webcam et déploiement de ransomware 🐀. La campagne cible les systèmes Windows et maintient la persistance via des scripts Visual Basic. ...