SOAPwn: une faille d’invalid cast dans .NET Framework permet des RCE via proxies SOAP et WSDL dynamiques

Source: watchTowr (whitepaper publiĂ© suite Ă  une prĂ©sentation Ă  Black Hat Europe 2025). Ce document de recherche expose une vulnĂ©rabilitĂ© d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL gĂ©nĂšre des proxies SOAP vulnĂ©rables menant Ă  des Ă©critures arbitraires de fichiers et Ă  des compromissions. Le cƓur du problĂšme est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. RĂ©sultat: les classes dĂ©rivĂ©es (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent Ă©crire sur le disque ou relayer NTLM au lieu d’émettre des requĂȘtes HTTP/S. L’impact principal est une Ă©criture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

11 dĂ©cembre 2025 Â· 3 min

Arnaques au recrutement: fausses offres d’emploi via profils falsifiĂ©s

Selon l’actualitĂ© (09.12.2025) du NCSC Suisse, des cybercriminels exploitent les mĂ©canismes des processus de recrutement pour tromper des candidats grĂące Ă  des annonces trĂšs crĂ©dibles. Les attaquants publient des fausses offres d’emploi depuis des profils falsifiĂ©s, suffisamment authentiques pour ne pas Ă©veiller la mĂ©fiance. L’espoir d’une carriĂšre prometteuse conduit certaines victimes Ă  abaisser leur vigilance, ce qui permet aux escrocs de manipuler le public cible et de passer Ă  l’attaque. 🎭 ...

10 dĂ©cembre 2025 Â· 1 min

Atlanta: arrestation pour effacement d’un Google Pixel avant une fouille du CBP

Selon 404 Media, sur la base de documents judiciaires et de publications sur les rĂ©seaux sociaux, un homme Ă  Atlanta, Samuel Tunick, a Ă©tĂ© arrĂȘtĂ© et inculpĂ© pour avoir supposĂ©ment effacĂ© les donnĂ©es d’un tĂ©lĂ©phone Google Pixel avant qu’un membre d’une unitĂ© secrĂšte de la CBP (Customs and Border Protection) ne puisse le fouiller. La personne mentionnĂ©e est dĂ©crite comme un activiste local d’Atlanta. Les circonstances exactes de la fouille, notamment le motif initial, ne sont pas connues. Le mĂ©dia souligne qu’il est peu courant de voir quelqu’un poursuivi spĂ©cifiquement pour l’effacement d’un tĂ©lĂ©phone, une fonctionnalitĂ© facilement accessible sur certains appareils orientĂ©s confidentialitĂ© et sĂ©curitĂ©. đŸ“±đŸ”’ 404 Media indique rechercher des informations supplĂ©mentaires et fournit des contacts pour des tips: Signal: joseph.404 et email: joseph@404media.co. ✉ ...

10 dĂ©cembre 2025 Â· 1 min

Careless Whisper : une faille WhatsApp permet un pistage silencieux et un drainage massif de batterie

Selon le blog de Korben (8 dĂ©cembre 2025), des chercheurs de l’UniversitĂ© de Vienne ont prĂ©sentĂ© « Careless Whisper », une attaque rĂ©compensĂ©e Best Paper Ă  RAID 2025, montrant comment exploiter les accusĂ©s de rĂ©ception de WhatsApp (et Signal) pour surveiller un utilisateur Ă  distance sans notification. ‱ L’attaque s’appuie sur des accusĂ©s de rĂ©ception silencieux dĂ©clenchĂ©s via l’envoi de rĂ©actions Ă  des messages inexistants. L’utilisateur ne voit rien (pas de notif, pas de message visible), tandis que l’attaquant mesure les temps de rĂ©ponse du tĂ©lĂ©phone pour en tirer des informations. đŸ•”ïž ...

10 dĂ©cembre 2025 Â· 2 min

CVE-2025-55182 : RCE via React Server Functions/Next.js par références de prototype non sécurisées

Une publication technique dĂ©crit en dĂ©tail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisĂ©es notamment par Next.js) due Ă  des rĂ©fĂ©rences de prototype non sĂ©curisĂ©es lors de la dĂ©sĂ©rialisation du protocole React Flight. — Contexte et cause racine — La dĂ©sĂ©rialisation des “chunks” du protocole React Flight ne vĂ©rifiait pas, jusqu’à un commit correctif de React, si la clĂ© demandĂ©e appartenait rĂ©ellement Ă  l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des rĂ©fĂ©rences croisĂ©es entre chunks (dont la syntaxe spĂ©ciale pour rĂ©cupĂ©rer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — ChaĂźne d’exploitation (vue d’ensemble) 🚹 — ...

10 dĂ©cembre 2025 Â· 3 min

DeadLock: un nouveau loader BYOVD exploite CVE-2024-51324 pour tuer l’EDR et chiffrer Windows

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menĂ©e par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la dĂ©fense et chiffrer des environnements Windows. ‱ Point clĂ©: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inĂ©dit pour exploiter la vulnĂ©rabilitĂ© CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver lĂ©gitime est dĂ©posĂ© avec un loader (noms observĂ©s: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnĂ©rable Ă  exĂ©cuter ZwTerminateProcess() sans vĂ©rification de privilĂšges. ...

10 dĂ©cembre 2025 Â· 3 min

Des donnĂ©es publicitaires exposent l’identitĂ© et les habitudes de personnels sensibles français

Selon Le Monde (rubrique Pixels), dans le cadre d’une enquĂȘte collaborative internationale (« Data Brokers Files »), le journal a montrĂ© qu’il est possible, via des donnĂ©es publicitaires facilement accessibles, d’identifier avec certitude ou forte probabilitĂ© des personnels d’entitĂ©s sensibles en France, de retrouver leur domicile et de dĂ©duire leurs habitudes. ‱ Nature du problĂšme: exposition de donnĂ©es de localisation issues de l’industrie publicitaire (adtech), collectĂ©es Ă  partir de smartphones puis revendues par des data brokers. Ces donnĂ©es peuvent ĂȘtre prĂ©cises Ă  quelques mĂštres, permettant un suivi fin des dĂ©placements. đŸ“±đŸ“ ...

10 dĂ©cembre 2025 Â· 2 min

Des pubs Google mÚnent à des chats LLM piégés distribuant un stealer macOS (Shamus)

Dans un billet technique signĂ© Miguel, l’auteur documente une chaĂźne d’attaque oĂč des rĂ©sultats sponsorisĂ©s Google renvoient vers des chats LLM partagĂ©s (ChatGPT, DeepSeek) contenant des commandes terminal obfusquĂ©es visant macOS. L’attaque dĂ©bute par du malvertising: des requĂȘtes courantes (ex. « how to clear storage on mac ») mĂšnent Ă  des chats LLM semblant lĂ©gitimes mais qui livrent des commandes base64. Celles-ci rĂ©cupĂšrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), tĂ©lĂ©chargent un binaire (/tmp/update depuis nonnida.com) et l’exĂ©cutent avec sudo aprĂšs suppression de l’attribut de quarantaine. ...

10 dĂ©cembre 2025 Â· 3 min

Espagne : arrestation d’un hacker de 19 ans pour 64 M de donnĂ©es volĂ©es ; un courtier de comptes arrĂȘtĂ© en Ukraine

Selon BleepingComputer, les autoritĂ©s ont menĂ© deux opĂ©rations distinctes aboutissant Ă  des arrestations en Espagne et en Ukraine, visant des individus soupçonnĂ©s d’infractions cyber liĂ©es au vol massif de donnĂ©es et au piratage de comptes. 🚔 En Espagne, la Police nationale a arrĂȘtĂ© Ă  Igualada (Barcelone) un suspect de 19 ans, accusĂ© d’avoir accĂ©dĂ© sans autorisation Ă  neuf entreprises et d’avoir dĂ©robĂ© 64 millions d’enregistrements. Les donnĂ©es incluent des noms complets, adresses postales, emails, numĂ©ros de tĂ©lĂ©phone, numĂ©ros de DNI et codes IBAN. Le suspect fait face Ă  des charges pour cybercriminalitĂ©, accĂšs non autorisĂ©, divulgation de donnĂ©es privĂ©es et atteintes Ă  la vie privĂ©e. ...

10 dĂ©cembre 2025 Â· 2 min

EtherRAT : un implant Node.js avec C2 via Ethereum exploite React2Shell (CVE-2025-55182)

Contexte — Source: Sysdig Threat Research Team (TRT). Dans l’analyse d’un Next.js compromis peu aprĂšs la divulgation de React2Shell (CVE-2025-55182), Sysdig TRT documente « EtherRAT », un implant inĂ©dit bien plus avancĂ© que les charges observĂ©es initialement (miners, vols d’identifiants). 🚹 Points saillants: EtherRAT est une porte dĂ©robĂ©e persistante en quatre Ă©tapes (shell dropper → dĂ©ploiement → dĂ©chiffreur → implant) qui exploite React2Shell pour exĂ©cuter du code Ă  distance sur des React Server Components (React 19.x, Next.js 15.x/16.x avec App Router). L’implant tĂ©lĂ©charge un runtime Node.js lĂ©gitime (v20.10.0) depuis nodejs.org, charge un payload chiffrĂ© (AES‑256‑CBC), et Ă©tablit un C2 via un smart contract Ethereum (rĂ©solution par consensus multi‑RPC) avec polling toutes les 500 ms et exĂ©cution de code JavaScript arbitraire. ...

10 dĂ©cembre 2025 Â· 3 min
Derniùre mise à jour le: 7 juillet 2026 📝