APT-Q-27

🔍 Contexte Publié le 22 avril 2026 par Ransom-ISAC (Alex Necula & Ellis Stannard), ce rapport documente une vulnérabilité 0-day critique de type BYOVD dans le driver Windows dragoncore_k.sys, signé par Microsoft WHQL au nom de Zhengzhou 403 Network Technology Co., Ltd., une société écran chinoise dont le certificat GlobalSign EV a été explicitement révoqué pour abus. 🐛 Vulnérabilité technique Le driver expose une interface IOCTL non authentifiée (code 0x22201C) permettant à tout processus disposant de droits administrateur local de terminer des processus arbitraires depuis Ring 0, y compris ceux protégés par Protected Process Light (PPL), neutralisant ainsi tout EDR ou antivirus. Trois classes de vulnérabilités sont identifiées : ...

🗓️ Contexte Publié le 3 mai 2026 sur BleepingComputer par Lawrence Abrams, cet article couvre deux événements liés : un faux positif massif de Microsoft Defender sur des certificats DigiCert légitimes, et la compromission réelle de l’autorité de certification DigiCert ayant conduit à l’émission frauduleuse de certificats EV de signature de code. 🚨 Faux positifs Microsoft Defender Depuis le 30 avril 2026, une mise à jour de signatures Defender (antérieure à la version 1.449.430.0) a commencé à détecter des certificats racine DigiCert légitimes présents dans le Windows trust store comme Trojan:Win32/Cerdigent.A!dha. ...