Élévation De Privilèges

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur anonyme se faisant appeler “Chaotic Eclipse” ou “Nightmare Eclipse”, qui affirme avoir été lésé personnellement par Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass BitLocker L’exploit nommé “Yellow Key” permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque requiert : Brancher une clé USB contenant l’exploit sur la machine cible Redémarrer dans l’environnement de récupération Windows (WinRE) Entrer une combinaison de touches spécifique Un shell avec accès non restreint au volume chiffré est alors obtenu Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non concerné). L’exploit est disponible publiquement sur GitHub et a été confirmé fonctionnel par le chercheur KevTheHermit. ...

📅 Contexte Article publié le 12 mai 2026 sur Krebs on Security, couvrant le Patch Tuesday de mai 2026. Il s’agit d’un tour d’horizon mensuel des correctifs de sécurité publiés par les principaux éditeurs logiciels. 🪟 Microsoft – 118 vulnérabilités corrigées Microsoft publie des correctifs pour 118 vulnérabilités dans ses systèmes Windows et autres produits. C’est le premier Patch Tuesday depuis près de deux ans sans zero-day activement exploité ni vulnérabilité préalablement divulguée publiquement. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur en sécurité anonyme, opérant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systématiquement effectuées juste après le Patch Tuesday de Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker Le premier exploit, nommé “Yellow Key”, permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque nécessite : ...

🔍 Contexte Publié le 22 avril 2026 par l’équipe Red Team de Deutsche Telekom sur leur blog sécurité GitHub, cet article divulgue de manière coordonnée une vulnérabilité haute sévérité baptisée Pack2TheRoot, référencée CVE-2026-41651 (CVSS 3.1 : 8.8). 🎯 Nature de la vulnérabilité La vulnérabilité réside dans le démon PackageKit, une couche d’abstraction de gestion de paquets multi-distributions. Elle permet à un attaquant local non privilégié d’installer ou supprimer des paquets système sans autorisation, conduisant à une élévation de privilèges complète (root). ...

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...

🔍 Contexte Article publié le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique détaillée de la vulnérabilité CVE-2025-33073, portant sur l’exploitation de la délégation Kerberos non contrainte dans les environnements Windows Active Directory. ⚠️ Vulnérabilité analysée CVE-2025-33073 affecte les hôtes Windows membres de domaine ne disposant pas du signature SMB activée. Elle permet à tout utilisateur de domaine disposant d’un accès réseau d’obtenir des privilèges SYSTEM sur un serveur membre non patché, sans nécessiter d’accès administrateur local préalable. ...

📰 Contexte Publié le 20 mars 2026 sur IT-Connect par Florian Burnel, cet article rapporte la publication par Ubiquiti de correctifs pour deux vulnérabilités affectant l’application UniFi Network et UniFi Express, utilisées pour la gestion et la supervision d’équipements réseau (routeurs, switchs, points d’accès Wi-Fi). 🔴 CVE-2026-22557 — Vulnérabilité critique (CVSS 10.0) Type : Path Traversal Accès requis : Aucun (attaquant distant non authentifié) Interaction utilisateur : Non requise Impact : Accès aux fichiers du système sous-jacent, pouvant mener à la compromission de comptes utilisateurs et à la prise de contrôle de l’instance UniFi Versions vulnérables : Official Release : 10.1.85 et antérieures Release Candidate : 10.2.93 et antérieures UniFi Express : 9.0.114 et antérieures Versions corrigées : Official Release : 10.1.89 ou ultérieures Release Candidate : 10.2.97 ou ultérieures UniFi Express : Firmware 4.0.13 (inclus v9.0.118) 🟠 CVE-2026-22558 — Vulnérabilité élevée (CVSS 7.7) Type : Injection NoSQL avec authentification Accès requis : Authentification réseau Impact : Élévation de privilèges Versions vulnérables et corrigées : identiques à CVE-2026-22557 🎯 Portée Les deux vulnérabilités affectent les produits UniFi Network et UniFi Express d’Ubiquiti, déployés dans des environnements réseau professionnels et grand public. ...

ConnectWise avertit ses clients d’une vulnérabilité de vérification de signature cryptographique dans ScreenConnect pouvant permettre un accès non autorisé et une élévation de privilèges. Selon BleepingComputer, ConnectWise met en garde les clients de ScreenConnect au sujet d’une vulnérabilité de vérification de signature cryptographique susceptible d’entraîner un accès non autorisé et une élévation de privilèges. ⚠️ ConnectWise ScreenConnect : faille critique de vérification cryptographique (CVE-2026-3564) Résumé ConnectWise a publié un correctif pour CVE-2026-3564, une vulnérabilité critique affectant ScreenConnect dans les versions antérieures à 26.1. Le problème peut permettre un accès non autorisé et une élévation de privilèges si un attaquant parvient à obtenir le matériel cryptographique serveur utilisé pour l’authentification de session. ConnectWise a renforcé la protection des ASP.NET machine keys dans la version 26.1, notamment via un stockage chiffré et une meilleure gestion des clés. :contentReference[oaicite:0]{index=0} ...

Source et contexte — Qualys (Threat Research Unit) publie un avis de recherche détaillant « CrackArmor », un ensemble de neuf vulnérabilités dans AppArmor, le module de sécurité Linux par défaut sur Ubuntu, Debian et SUSE. Présentes depuis 2017 (noyau v4.11), elles exposent plus de 12,6 M de systèmes. Des PoC complets existent (non publiés), aucun CVE n’est encore attribué, et un correctif noyau immédiat est recommandé. • Mécanisme principal: des failles de type « confused deputy » permettent à un utilisateur non privilégié de manipuler des profils AppArmor via des pseudo-fichiers système (p. ex. /sys/kernel/security/apparmor/.load, .replace, .remove), de contourner les restrictions de user namespaces et d’atteindre une exécution de code au sein du noyau. Des interactions avec des outils de confiance comme Sudo et Postfix participent à la chaîne d’exploitation. ...