Posts

SecurityWeek rapporte que Microsoft a désactivé la prévisualisation des fichiers téléchargés pour contrer une fuite potentielle de hachages NTLM. Dans certains fichiers récupérés depuis Internet, des balises HTML pointant vers des chemins externes pouvaient être utilisées pour exfiltrer des hachages NTLM au moment de l’aperçu. • Vulnérabilité: des balises HTML dans des fichiers téléchargés, référencées vers des chemins externes, pouvaient déclencher une demande d’authentification et exposer des hachages NTLM lors de la prévisualisation du fichier. ...

Selon Picus Security, Microsoft a publié un correctif hors bande pour CVE-2025-59287, une vulnérabilité critique d’exécution de code à distance affectant Windows Server Update Services (WSUS), déjà exploitée dans la nature. Nature de la faille: désérialisation .NET non sécurisée dans la méthode Microsoft.UpdateServices.Internal.Authorization.EncryptionHelper.DecryptData() qui appelle BinaryFormatter.Deserialize() sur des données d’AuthorizationCookie contrôlables par l’utilisateur, sans validation de type. Impact: RCE avec privilèges SYSTEM de manière non authentifiée via des requêtes SOAP malveillantes envoyées aux services web de reporting WSUS. Produits/Composants concernés: WSUS (ports par défaut 8530/8531), endpoint /ClientWebService/Client.asmx (méthode GetCookie). Technique d’exploitation (résumé) 🚨: ...

Selon Picus Security, Predatory Sparrow est un groupe de cyber-sabotage menant des opérations hautement disruptives contre l’infrastructure, des organismes publics et des institutions financières iraniennes, dans le contexte de la « guerre de l’ombre » cyber entre Israël et l’Iran. Le groupe a visé des cibles majeures comme le réseau ferroviaire national, des aciéries, des stations-service, ainsi que des institutions financières telles que Bank Sepah et la plateforme crypto Nobitex. Les opérations se distinguent par une perturbation opérationnelle massive, une destruction délibérée de données via des wipers, et un message public provocateur. ...

Source: Huntress — Le billet détaille l’exploitation active de la vulnérabilité CVE-2025-59287 dans Windows Server Update Services (WSUS), une exécution de code à distance (RCE) via désérialisation de l’AuthorizationCookie, observée dès 2025-10-23 23:34 UTC. Microsoft a publié un correctif hors cycle le 23 octobre, et Huntress a constaté des attaques chez quatre clients. Produits/portée: WSUS exposé publiquement sur les ports par défaut 8530/TCP (HTTP) et 8531/TCP (HTTPS). Vulnérabilité: Désérialisation sur l’AuthorizationCookie menant à RCE (CVE-2025-59287). Un billet de Hawktrace fournit un PoC. Impact observé: Environ 25 hôtes susceptibles dans la base de partenaires de Huntress; exploitation attendue comme limitée car WSUS est rarement exposé. 🛠️ Comportements et chaîne d’exécution observés: ...

Selon Trend Micro Research, une campagne sophistiquée d’Agenda (Qilin) combine des leurres de type faux CAPTCHA, l’abus d’outils RMM légitimes et des techniques BYOVD pour déployer et exécuter un binaire de ransomware Linux sur des hôtes Windows, contournant les contrôles et EDR centrés sur Windows. Depuis janvier 2025, 591 victimes dans 58 pays ont été affectées. L’intrusion commence par des pages de faux CAPTCHA hébergées sur l’infrastructure Cloudflare R2 distribuant des infostealers, suivies du déploiement de portes dérobées COROXY (proxies SOCKS) en multiples instances afin d’obfusquer le C2. Les attaquants ciblent ensuite de manière stratégique l’infrastructure de sauvegarde Veeam pour le vol d’identifiants via des scripts PowerShell contenant des charges Base64 et interrogeant plusieurs bases de données Veeam. ...

Source: Brave (brave.com) — Dans le second billet d’une série sur les défis de sécurité et de confidentialité des navigateurs « agentiques », Shivan Kaul Sahib et Artem Chaikin publient des résultats de recherche montrant que l’« indirect prompt injection » est un problème systémique dans les navigateurs IA. Ils décrivent des vecteurs d’attaque additionnels testés sur différentes implémentations et rappellent leur divulgation responsable aux éditeurs concernés. Les chercheurs expliquent que des navigateurs IA capables d’agir au nom de l’utilisateur restent vulnérables à des prompt injections via captures d’écran et contenus cachés, exposant les sessions authentifiées (banque, email, etc.). Une simple action comme résumer un post Reddit pourrait permettre à un attaquant de voler de l’argent ou des données privées. ...

Selon Wordfence (billet de blog cité en référence), une campagne d’exploitation à grande échelle cible des vulnérabilités d’installation arbitraire de plugins dans GutenKit et Hunk Companion, deux extensions WordPress totalisant plus de 48 000 installations actives. ⚠️ Les attaquants, sans authentification, abusent d’endpoints REST API exposés dont le permission_callback est défini à __return_true, permettant l’installation de plugins malveillants et une exécution de code à distance (RCE). Wordfence indique avoir bloqué plus de 8,7 millions de tentatives depuis le déploiement de règles de pare-feu. La campagne a repris le 8 octobre 2025, environ un an après la divulgation initiale, montrant un intérêt persistant pour ces failles non corrigées. ...

Source: Truesec (référence citée) — Contexte: divulgation et exploitation active de deux vulnérabilités critiques affectant des passerelles TP-Link Omada. • Deux vulnérabilités critiques sont décrites: CVE-2025-7850 (injection de commandes via le portail web après authentification administrateur) et CVE-2025-7851 (accès shell root). Ces failles peuvent être chaînées pour aboutir à une compromission complète du système. • Impact et vecteur: l’exploitation de CVE-2025-7850 via l’interface web permet l’exécution de commandes arbitraires avec des privilèges étendus, tandis que CVE-2025-7851 fournit un accès root. L’accès nécessite des identifiants administrateur, faisant des compromissions d’identifiants ou menaces internes des facteurs de risque clés. ⚠️ Une exploitation active “in the wild” est signalée et du code de preuve de concept est public. ...

Selon Picus Security, cette analyse retrace l’évolution de FIN7 (Carbon Spider, GOLD NIAGARA), groupe cybercriminel actif depuis 2013, passé des compromissions de systèmes POS à des opérations de ransomware orientées «big-game hunting» autour de 2020, avec une forte capacité d’adaptation et d’évasion. Le groupe se distingue par des chaînes d’infection multi‑étapes et fileless utilisant PowerShell, VBScript et JavaScript, avec des indicateurs techniques tels que des motifs de ligne de commande (ex. «powershell.exe -ex bypass») et des routines d’obfuscation personnalisées insérant du code parasite. Des vecteurs d’accès initiaux incluent le spearphishing avec pièces jointes malveillantes. ...

Contexte: NETSCOUT (blog ASERT) publie une analyse de tendances montrant que l’espace IPv4, depuis les dernières attributions IANA en 2011, s’est fragmenté au point de ressembler à un « marécage », avec des effets directs sur la sécurité réseau et la mitigation DDoS. L’étude observe une croissance des tables de routage IPv4 à environ 1 million d’entrées en 2024, avec les /24 représentant 60% des routes. Les derniers blocs /8 du « free pool » (102/8, 103/8, 104/8, 179/8, 185/8) présentent des schémas de fragmentation comparables à l’espace legacy 192/8. ...