Élévation De Privilèges

Source et contexte — SANS Internet Storm Center (ISC) publie un récapitulatif du Patch Tuesday de Microsoft d’août 2025, totalisant 111 vulnérabilités corrigées, dont 17 classées critiques, avec une zero‑day divulguée avant le patch. Aucune n’est signalée comme exploitée in the wild au moment de la publication. Vue d’ensemble 🛡️ — Les correctifs couvrent des risques majeurs d’exécution de code à distance (RCE) et d’élévation de privilèges (EoP). Le billet souligne l’importance d’appliquer rapidement les mises à jour afin de réduire l’exposition. ...

Source : Talos Intelligence (blog de Cisco Talos). Des chercheurs présentent une chaîne d’attaque touchant Dell ControlVault3, une solution de sécurité matérielle largement déployée sur des laptops Dell, menant à l’exécution de code arbitraire, à l’altération de l’authentification biométrique et à une compromission jusqu’au niveau SYSTEM sur Windows. • Découvertes clés : le déchiffrement du firmware via des clés AES codées en dur, la possibilité d’implants persistants survivant aux réinstallations du système, et le contournement de l’authentification par empreinte Windows Hello. Les organisations utilisant des ordinateurs Dell avec ControlVault3 sont invitées à mettre en place des capacités de détection et une surveillance renforcée. 🔐⚠️ ...

Selon une analyse publiée sur zeifan.my, un pilote Windows malveillant présente une vulnérabilité d’élévation de privilèges de sévérité élevée (CVSS 8.8), avec des capacités de manipulation du registre et d’accès disque brut. L’étude décrit trois interfaces de périphérique exposées par le pilote (\Device\wogui, \Device\wowrt, \Device\wowreg001) et leurs gestionnaires IRP, qui ouvrent la voie à des actions critiques. Les vulnérabilités clés incluent la suppression arbitraire de clés de registre HKLM, la modification de l’entrée BootExecute pour la persistance, et des lectures disque non restreintes au niveau secteur, permettant potentiellement de contourner des contrôles de sécurité. ...

Selon la CISA, une directive d’urgence (25-02) exige des agences fédérales une mitigation immédiate de CVE-2025-53786, une vulnérabilité post-authentification visant les environnements Microsoft Exchange hybrides, avec recommandation à toutes les organisations concernées de suivre les guidances de l’éditeur. ⚠️ Vulnérabilité: CVE-2025-53786 affecte les configurations Microsoft Exchange hybrides. Elle permet à des acteurs ayant déjà un accès administrateur sur un serveur Exchange d’élever leurs privilèges et d’exploiter des configurations « hybrid-joined » vulnérables contre l’environnement cloud connecté de l’organisation. ...

Source: Google Project Zero — Dans un billet technique, un chercheur démontre une chaîne d’exploit complète contre CVE-2025-38236, montrant comment passer du code dans le renderer de Chrome à un accès noyau sur Linux ≥ 6.9. L’article met en avant les risques de sécurité liés à l’exposition de fonctionnalités noyau peu utilisées dans des environnements sandboxés. La faille est une use-after-free dans l’implémentation AF_UNIX MSG_OOB du noyau Linux, due à une gestion incorrecte des buffers out-of-band dans la fonction manage_oob(), créant des pointeurs pendants lorsque plusieurs SKB de taille zéro coexistent dans les files de réception. Les versions affectées mentionnées sont Linux ≥ 6.9. ...

Selon Tenable (blog), une vulnérabilité critique affecte les déploiements hybrides de Microsoft Exchange, permettant une élévation de privilèges du local vers le cloud. Le contexte inclut la publication d’un hotfix par Microsoft et une directive d’urgence de la CISA pour les agences fédérales. • Nature et impact: La faille d’élévation de privilèges CVE-2025-53786 exploite des service principals partagés entre Exchange Server on‑premises et Exchange Online. Un acteur disposant de droits administrateur on‑prem peut abuser de cette relation de confiance pour escalader ses privilèges dans le cloud, compromettant l’intégrité de l’environnement cloud, avec des traces difficiles à détecter. 🔐 ...

Selon bleepingcomputer.com, Microsoft a publié un avis de sécurité concernant une vulnérabilité haute gravité dans les déploiements Exchange Server hybrides qui peut permettre une élévation de privilèges dans Exchange Online, souvent sans traces auditables dans Microsoft 365. Dans les configurations hybrides, les serveurs Exchange on-premises et Exchange Online partagent le même service principal (identité de service) utilisé pour l’authentification. En abusant de cette identité partagée, un acteur ayant le contrôle de l’Exchange on-prem peut forger/manipuler des jetons de confiance ou des appels API acceptés par le cloud comme légitimes. ...

L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory. Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse. ...

Cet article, publié par la Stratascale Cyber Research Unit, révèle une vulnérabilité critique dans l’utilitaire Sudo sur les systèmes Linux, permettant une élévation de privilèges à root. La vulnérabilité, identifiée comme CVE-2025-32463, réside dans l’option chroot de Sudo. Elle permet à un utilisateur local non privilégié d’exécuter du code arbitraire en tant que root, même sans règles Sudo définies pour cet utilisateur. Les versions de Sudo de 1.9.14 à 1.9.17 sont affectées, tandis que les versions antérieures à 1.8.32 ne le sont pas car elles ne supportent pas la fonctionnalité chroot. ...

Stratascale Cyber Research Unit a découvert deux vulnérabilités locales dans l’outil Sudo, largement utilisé sur les systèmes Linux pour exécuter des commandes avec des privilèges élevés. Ces vulnérabilités permettent une élévation de privilèges à root sur les systèmes affectés, exploitant des options de ligne de commande rarement utilisées. L’une des vulnérabilités, CVE-2025-32462, repose sur une configuration spécifique des règles Sudo, souvent présente dans les environnements d’entreprise. La vulnérabilité a été présente dans le code depuis plus de 12 ans et affecte les versions de Sudo de 1.8.8 à 1.9.17. Elle permet à un utilisateur de contourner les restrictions d’accès en utilisant l’option -h (–host) pour exécuter des commandes autorisées par des règles de serveur distant sur le système local. Les systèmes d’exploitation tels qu’Ubuntu 24.04.1 et macOS Sequoia sont confirmés comme vulnérables. ...