https://cyberveille.ch/tags/com-api-abuse/ Recent content in COM API Abuse on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-totalrecall-reloaded-extraction-silencieuse-des-donnees-windows-recall-sans-droits-admin/ Sun, 19 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-19-totalrecall-reloaded-extraction-silencieuse-des-donnees-windows-recall-sans-droits-admin/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié sur GitHub (xaitax/TotalRecall), cet article présente <strong>TotalRecall Reloaded</strong>, un outil offensif ciblant la fonctionnalité <strong>Windows Recall</strong> de Microsoft. Il s&rsquo;agit d&rsquo;une analyse technique détaillée accompagnée d&rsquo;un outil fonctionnel démontrant plusieurs failles architecturales dans la conception de sécurité de Recall.</p> <h2 id="-architecture-et-vulnérabilité-fondamentale">🏗️ Architecture et vulnérabilité fondamentale</h2> <p>Microsoft a sécurisé Windows Recall avec <strong>VBS enclaves, chiffrement AES-256-GCM, authentification Windows Hello et un hôte Protected Process Light (PPL)</strong>. Cependant, le processus de rendu <strong>AIXHost.exe</strong> ne bénéficie d&rsquo;aucune de ces protections (pas de PPL, pas d&rsquo;AppContainer, pas d&rsquo;enforcement d&rsquo;intégrité de code). Tout processus s&rsquo;exécutant en tant qu&rsquo;utilisateur connecté peut y injecter du code et appeler les mêmes API COM que l&rsquo;interface légitime.</p>