Rapport GRIT Q2 2026 : 2 279 victimes de ransomware, Qilin et The Gentlemen dominent

📊 Contexte : GuidePoint Security publie son rapport trimestriel GRIT Q2 2026 (avril–juin 2026), couvrant l’ensemble de l’écosystĂšme ransomware et des menaces cyber sur la pĂ©riode. Il s’appuie sur des donnĂ©es publiques issues des sites de fuite des groupes criminels. 🔱 Chiffres clĂ©s du trimestre : 2 279 victimes dĂ©clarĂ©es publiquement, soit +7% par rapport au Q1 2026 et +43% en glissement annuel 91 groupes distincts actifs, record absolu observĂ© par GRIT 108 pays ciblĂ©s (contre 97 au Q1 2026) Les États-Unis reprĂ©sentent 32% des victimes, en baisse historique par rapport aux ~50% habituels 🏆 Groupes les plus actifs : ...

17 juillet 2026 Â· 5 min

CVE-2026-33825 (BlueHammer) dans Microsoft Defender exploitée dans des attaques ransomware

📰 Source : SecurityWeek — Date de publication : 30 juin 2026 La CISA (agence amĂ©ricaine de cybersĂ©curitĂ©) a signalĂ© l’exploitation active de la vulnĂ©rabilitĂ© BlueHammer, identifiĂ©e sous la rĂ©fĂ©rence CVE-2026-33825, dans le cadre d’attaques ransomware. Cette faille affecte Microsoft Defender. 🔍 Contexte de divulgation BlueHammer fait partie d’une sĂ©rie d’exploits rendus publics par un chercheur mĂ©content opĂ©rant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse. Ce chercheur a choisi de divulguer publiquement plusieurs vulnĂ©rabilitĂ©s avant que Microsoft n’ait pu publier des correctifs, en rĂ©action Ă  ce qu’il perçoit comme une mauvaise gestion des rapports de vulnĂ©rabilitĂ©s par l’éditeur. ...

3 juillet 2026 Â· 2 min

Zero-day RoguePlanet dans Microsoft Defender : élévation de privilÚges, patch en cours

📰 Source : SecurityWeek — Date : 17 juin 2026 Microsoft a publiĂ© un avis de sĂ©curitĂ© reconnaissant l’existence de CVE-2026-50656 (score CVSS 7.8), une vulnĂ©rabilitĂ© d’élĂ©vation de privilĂšges dans le Microsoft Malware Protection Engine de Microsoft Defender, publiquement dĂ©signĂ©e sous le nom RoguePlanet. 🔍 DĂ©tails techniques La vulnĂ©rabilitĂ© exploite une race condition dans Microsoft Defender et permet Ă  un attaquant d’obtenir des privilĂšges SYSTEM. Un proof-of-concept (PoC) a Ă©tĂ© publiĂ© par le chercheur Nightmare Eclipse (alias Chaotic Eclipse), dĂ©montrant une Ă©lĂ©vation de privilĂšges locale (LPE) sur Windows 10 et Windows 11 avec les correctifs de juin 2026 installĂ©s. ...

18 juin 2026 Â· 3 min

0-day Windows Defender ' RoguePlanet ' : élévation de privilÚges SYSTEM via race condition

📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday) 🔍 Contexte Le chercheur Nightmare Eclipse (Ă©galement suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publiĂ© sur GitHub un exploit proof-of-concept (PoC) nommĂ© RoguePlanet, ciblant une vulnĂ©rabilitĂ© zero-day non encore rĂ©fĂ©rencĂ©e par Microsoft dans Microsoft Windows Defender. ⚙ Nature de la vulnĂ©rabilitĂ© RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilĂ©giĂ© peut rediriger une opĂ©ration fichier effectuĂ©e par Defender (qui s’exĂ©cute en tant que SYSTEM) via des NTFS junction points, afin d’exĂ©cuter du code arbitraire au niveau de privilĂšge le plus Ă©levĂ© (Local Privilege Escalation — LPE). ...

13 juin 2026 Â· 3 min

Exploitation active de CVE-2026-41089 : RCE critique dans Windows Netlogon

📰 Contexte PubliĂ© le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte Ă©mise par le Centre pour la CybersĂ©curitĂ© Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnĂ©rabilitĂ© critique rĂ©cemment corrigĂ©e dans Windows Netlogon. 🔍 VulnĂ©rabilitĂ© CVE-2026-41089 CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisĂ©e pour l’authentification sur les rĂ©seaux de domaine Windows). Elle permet Ă  un attaquant non authentifiĂ© d’obtenir une exĂ©cution de code Ă  distance (RCE) sur des contrĂŽleurs de domaine ciblĂ©s. ...

6 juin 2026 Â· 3 min

CVE-2026-41089 : exploitation active de la faille RCE critique Windows Netlogon

đŸ—“ïž Contexte Source : BleepingComputer, publiĂ© le 1er juin 2026. Le Centre pour la CybersĂ©curitĂ© Belgique (CCB), autoritĂ© nationale belge en cybersĂ©curitĂ©, a Ă©mis une alerte le vendredi 30 mai 2026 signalant l’exploitation active dans la nature de la vulnĂ©rabilitĂ© CVE-2026-41089. 🔍 DĂ©tails de la vulnĂ©rabilitĂ© CVE : CVE-2026-41089 Composant affectĂ© : Windows Netlogon (service RPC d’authentification des domaines Windows) Type : Stack-based buffer overflow permettant une exĂ©cution de code Ă  distance (RCE) PrĂ©requis : Aucun privilĂšge requis, aucune authentification prĂ©alable nĂ©cessaire Vecteur : Envoi d’une requĂȘte rĂ©seau spĂ©cialement forgĂ©e vers un contrĂŽleur de domaine Score CVSS 3.1 : 9.8 (Critique) SystĂšmes impactĂ©s : Toutes les versions de Windows Server actuellement supportĂ©es, y compris Windows Server 2025 Patch : PubliĂ© lors du Patch Tuesday de mai 2026 (12 mai 2026) DĂ©couvreur : Windows Attack Research & Protection (WARP), Ă©quipe interne Microsoft ⚠ Exploitation active Le CCB a confirmĂ© via un tweet que CVE-2026-41089 est activement exploitĂ© dans la nature. Aucun dĂ©tail sur les attaquants, les victimes ou les mĂ©thodes d’exploitation n’a Ă©tĂ© fourni. Microsoft n’avait pas encore mis Ă  jour son advisory au moment de la publication de l’article. ...

2 juin 2026 Â· 3 min

Zero-day Windows MiniPlasma : escalade de privilÚges SYSTEM via cldflt.sys, PoC publié

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sĂ©curitĂ© connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publiĂ© un exploit proof-of-concept (PoC) pour une vulnĂ©rabilitĂ© zero-day Windows baptisĂ©e MiniPlasma, permettant une escalade de privilĂšges jusqu’au niveau SYSTEM sur des systĂšmes Windows 11 entiĂšrement Ă  jour (incluant les mises Ă  jour Patch Tuesday de mai 2026). 🔍 DĂ©tails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus prĂ©cisĂ©ment la routine HsmOsBlockPlaceholderAccess. Elle permet la crĂ©ation de clĂ©s de registre arbitraires dans la ruche .DEFAULT sans vĂ©rification d’accĂšs appropriĂ©e, via une API non documentĂ©e CfAbortHydration. Cette vulnĂ©rabilitĂ© avait Ă©tĂ© initialement dĂ©couverte et signalĂ©e Ă  Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignĂ©e sous l’identifiant CVE-2020-17103 et supposĂ©ment corrigĂ©e en dĂ©cembre 2020. Le chercheur affirme que le correctif n’a jamais Ă©tĂ© rĂ©ellement appliquĂ© ou a Ă©tĂ© silencieusement rĂ©voquĂ©. ...

19 mai 2026 Â· 3 min

Chercheur 'Nightmare-Eclipse' publie plusieurs 0-days Microsoft en représailles contre MSRC

🔍 Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. L’auteur, opĂ©rant sous le pseudonyme Nightmare-Eclipse, publie une sĂ©rie de divulgations publiques de vulnĂ©rabilitĂ©s ciblant Microsoft Windows, en rĂ©ponse Ă  ce qu’il dĂ©crit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC). 📋 Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) — premiĂšre divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) — outil qualifiĂ© de « DOS tool » et de 0-day, permettant Ă  tout utilisateur d’exĂ©cuter du code avec privilĂšges administrateur en contournant Windows Defender. L’auteur prĂ©cise que combinĂ© Ă  BlueHammer, la machine est entiĂšrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en rĂ©ponse au patch de CVE-2026-33825. L’auteur mentionne que MSRC avait Ă©tĂ© informĂ© mais avait ignorĂ© le signalement. 12 mai 2026 : Publication simultanĂ©e de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). L’auteur annonce vouloir impliquer d’autres entreprises. 13 mai 2026 : L’auteur signale que Microsoft a silencieusement patchĂ© RedSun sans CVE ni advisory, malgrĂ© une exploitation active. Il confirme que YellowKey fonctionne mĂȘme dans un environnement TPM+PIN et refuse de publier le PoC complet. ⚠ ÉlĂ©ments notables L’auteur affirme disposer d’un dead man switch sophistiquĂ©, hĂ©bergĂ© hors de son domicile, contenant des divulgations massives supplĂ©mentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signĂ©s cryptographiquement via PGP (Ed25519), la clĂ© publique est publiĂ©e sur le blog. L’auteur annonce des divulgations de RCE Ă  venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est dĂ©crit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. 🎯 Nature de l’article Il s’agit d’une sĂ©rie de divulgations publiques offensives (full disclosure) motivĂ©es par un conflit personnel avec Microsoft/MSRC, accompagnĂ©es de menaces crĂ©dibles de divulgations futures. Le but principal est d’exercer une pression publique sur Microsoft en exposant des vulnĂ©rabilitĂ©s non corrigĂ©es. ...

13 mai 2026 Â· 3 min

đŸȘČ April 2026 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-04-01 → 2026-05-01. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 0.01% VLAI: High (confidence: 0.9659) ProduitLinux — Linux PubliĂ©2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

1 mai 2026 Â· 33 min

đŸȘČ Semaine 17 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-04-19 → 2026-04-26. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-40372 CVSS: 9.1 EPSS: 0.03% VLAI: Critical (confidence: 0.6678) ProduitMicrosoft — ASP.NET Core 10.0 PubliĂ©2026-04-21T19:20:50.215Z Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network. ...

27 avril 2026 Â· 21 min
Derniùre mise à jour le: 18 juillet 2026 📝