Posts

Source : Push Security. Dans cette analyse, l’éditeur décrit « ConsentFix », une nouvelle campagne de phishing qui combine un leurre ClickFix dans le navigateur et l’abus du flux d’autorisation OAuth 2.0 via l’app première partie Microsoft Azure CLI pour détourner des consentements et obtenir des jetons d’accès. L’attaque est entièrement « browser-native » : la victime visite un site compromis trouvé via Google Search, passe un faux challenge Cloudflare Turnstile, puis suit des instructions qui ouvrent une authentification Microsoft légitime. Après sélection/connexion, le navigateur est redirigé vers localhost avec une URL contenant un code d’autorisation OAuth. La victime copie/colle cette URL dans la page malveillante, ce qui permet à l’attaquant d’échanger le code et de lier l’Azure CLI de l’attaquant au compte Microsoft de la victime. Résultat : prise de contrôle efficace du compte sans hameçonnage d’identifiants ni passage de MFA, et contournement des méthodes résistantes au phishing (ex. passkeys) lorsque la session est déjà ouverte. ...

Selon doublepulsar.com (billet de Kevin Beaumont, 2 déc. 2025), de petites quantités d’incidents ont été observées dans des organisations utilisant Notepad++, où des processus Notepad++/GUP semblent avoir servi de point d’entrée, menant à des activités « hands-on-keyboard » ciblées. Le billet décrit le fonctionnement de l’updater GUP/WinGUP: il contacte https://notepad-plus-plus.org/update/getDownloadUrl.php pour récupérer un gup.xml indiquant l’URL de téléchargement, enregistre l’installateur dans %TEMP% puis l’exécute. La vulnérabilité potentielle réside dans la possibilité de redirection/altération de l’URL dans si le trafic est intercepté (anciennement HTTP, puis HTTPS mais potentiellement interceptable au niveau ISP avec TLS intercept). Des versions antérieures utilisaient une racine auto-signée (disponible sur GitHub), avant un retour à GlobalSign en 8.8.7, rendant la vérification de l’intégrité insuffisamment robuste dans certains cas. ...

Source: watchTowr (whitepaper publié suite à une présentation à Black Hat Europe 2025). Ce document de recherche expose une vulnérabilité d’« invalid cast » dans .NET Framework (HttpWebClientProtocol) et montre comment l’import dynamique de WSDL génère des proxies SOAP vulnérables menant à des écritures arbitraires de fichiers et à des compromissions. Le cœur du problème est un mauvais cast dans HttpWebClientProtocol.GetWebRequest: au lieu de forcer un HttpWebRequest, le code retourne un WebRequest pouvant devenir un FileWebRequest si l’URL utilise file://. Résultat: les classes dérivées (SoapHttpClientProtocol, HttpPostClientProtocol, etc.) peuvent écrire sur le disque ou relayer NTLM au lieu d’émettre des requêtes HTTP/S. L’impact principal est une écriture arbitraire de fichier (notamment via POST/SOAP) et le NTLM relaying/fuite de challenge. ...

Selon l’actualité (09.12.2025) du NCSC Suisse, des cybercriminels exploitent les mécanismes des processus de recrutement pour tromper des candidats grâce à des annonces très crédibles. Les attaquants publient des fausses offres d’emploi depuis des profils falsifiés, suffisamment authentiques pour ne pas éveiller la méfiance. L’espoir d’une carrière prometteuse conduit certaines victimes à abaisser leur vigilance, ce qui permet aux escrocs de manipuler le public cible et de passer à l’attaque. 🎭 ...

Selon 404 Media, sur la base de documents judiciaires et de publications sur les réseaux sociaux, un homme à Atlanta, Samuel Tunick, a été arrêté et inculpé pour avoir supposément effacé les données d’un téléphone Google Pixel avant qu’un membre d’une unité secrète de la CBP (Customs and Border Protection) ne puisse le fouiller. La personne mentionnée est décrite comme un activiste local d’Atlanta. Les circonstances exactes de la fouille, notamment le motif initial, ne sont pas connues. Le média souligne qu’il est peu courant de voir quelqu’un poursuivi spécifiquement pour l’effacement d’un téléphone, une fonctionnalité facilement accessible sur certains appareils orientés confidentialité et sécurité. 📱🔒 404 Media indique rechercher des informations supplémentaires et fournit des contacts pour des tips: Signal: joseph.404 et email: joseph@404media.co. ✉️ ...

Selon le blog de Korben (8 décembre 2025), des chercheurs de l’Université de Vienne ont présenté « Careless Whisper », une attaque récompensée Best Paper à RAID 2025, montrant comment exploiter les accusés de réception de WhatsApp (et Signal) pour surveiller un utilisateur à distance sans notification. • L’attaque s’appuie sur des accusés de réception silencieux déclenchés via l’envoi de réactions à des messages inexistants. L’utilisateur ne voit rien (pas de notif, pas de message visible), tandis que l’attaquant mesure les temps de réponse du téléphone pour en tirer des informations. 🕵️ ...

Une publication technique décrit en détail CVE-2025-55182, une faille RCE affectant les React Server Functions (utilisées notamment par Next.js) due à des références de prototype non sécurisées lors de la désérialisation du protocole React Flight. — Contexte et cause racine — La désérialisation des “chunks” du protocole React Flight ne vérifiait pas, jusqu’à un commit correctif de React, si la clé demandée appartenait réellement à l’objet, permettant d’atteindre le prototype et d’obtenir le constructeur global Function. L’exploitation s’appuie sur des références croisées entre chunks (dont la syntaxe spéciale pour récupérer le chunk brut) et sur le fait que Next.js attend un thenable, ce qui ouvre une surface d’abus via l’attribut “then”. — Chaîne d’exploitation (vue d’ensemble) 🚨 — ...

Cisco Talos (Threat Spotlight) publie une analyse d’une campagne de ransomware DeadLock menée par un acteur financier qui combine techniques BYOVD, scripts PowerShell et post-exploitation pour neutraliser la défense et chiffrer des environnements Windows. • Point clé: l’attaque s’appuie sur un Bring Your Own Vulnerable Driver (BYOVD) et un loader inédit pour exploiter la vulnérabilité CVE-2024-51324 du driver Baidu Antivirus (BdApiUtil.sys) afin de terminer des processus EDR au niveau noyau. Le driver légitime est déposé avec un loader (noms observés: “EDRGay.exe” et “DriverGay.sys”) dans le dossier “Videos”. Le loader ouvre un handle sur “\.\BdApiUtil” (CreateFile) puis envoie un IOCTL 0x800024b4 (fonction 0x92D) via DeviceIoControl, ce qui conduit le driver vulnérable à exécuter ZwTerminateProcess() sans vérification de privilèges. ...

Selon Le Monde (rubrique Pixels), dans le cadre d’une enquête collaborative internationale (« Data Brokers Files »), le journal a montré qu’il est possible, via des données publicitaires facilement accessibles, d’identifier avec certitude ou forte probabilité des personnels d’entités sensibles en France, de retrouver leur domicile et de déduire leurs habitudes. • Nature du problème: exposition de données de localisation issues de l’industrie publicitaire (adtech), collectées à partir de smartphones puis revendues par des data brokers. Ces données peuvent être précises à quelques mètres, permettant un suivi fin des déplacements. 📱📍 ...

Dans un billet technique signé Miguel, l’auteur documente une chaîne d’attaque où des résultats sponsorisés Google renvoient vers des chats LLM partagés (ChatGPT, DeepSeek) contenant des commandes terminal obfusquées visant macOS. L’attaque débute par du malvertising: des requêtes courantes (ex. « how to clear storage on mac ») mènent à des chats LLM semblant légitimes mais qui livrent des commandes base64. Celles-ci récupèrent un script bash demandant en boucle le mot de passe, le valident (dscl . -authonly), l’enregistrent (/tmp/.pass), téléchargent un binaire (/tmp/update depuis nonnida.com) et l’exécutent avec sudo après suppression de l’attribut de quarantaine. ...