macOS : escalade de privilèges via exploitation du cache CDHash XPC et injection NIB

🔍 Contexte Publié le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article présente une nouvelle technique d’escalade de privilèges macOS permettant à un compte utilisateur standard de désactiver des solutions de sécurité d’entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans déclencher d’alertes. ⚙️ Mécanisme technique L’attaque repose sur une chaîne d’exploitation en plusieurs étapes : Exploitation du cache CDHash noyau : un binaire signé légitime est lancé pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiée pour injecter un payload NIB (Interface Builder) malveillant. Héritage du contexte de confiance : le code malveillant s’exécute dans l’espace mémoire du composant signé légitime, héritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilégiés sans authentification. Bridge Objective-C via JXA : pour contourner les limitations d’AppleScript, un bridge multi-étapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accès au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout. Méthodes XPC exposées exploitées : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply: 🎯 Produits impactés CrowdStrike Falcon Sensor : déchargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilité réseau. → Détection et prévention ajoutées, bounty payé. Kandji MDM Agent : désactivation permanente via une chaîne XPC en deux phases, suppression des gardes EDR et terminaison de l’extension Endpoint Security Framework (ESF). → CVE-2026-39118 assigné, bounty payé, correctif déployé. 🛠️ Outil associé Le chercheur a développé XPC Hunter, un framework open-source automatisé de découverte des surfaces d’escalade de privilèges XPC sur toutes les applications macOS installées. Sa présentation est prévue à Black Hat US en août 2026. ...

30 juin 2026 · 3 min

Analyse technique du framework C2 Havoc : techniques d'évasion et cycle d'infection

🔍 Contexte : Le 10 juin 2026, l’équipe SonicWall Capture Labs Threat Research a publié une analyse technique d’un échantillon du framework C2 Havoc, connu pour ses capacités de furtivité avancées et utilisé dans diverses campagnes malveillantes. ⚙️ Cycle d’infection : L’infection se déroule en deux étapes : Un script VBS légèrement obfusqué télécharge et exécute un binaire malveillant sous forme de bundle MSI (update.msi) Le MSI dépose deux fichiers imitant des composants Microsoft légitimes : EndpointDLP.dll et MpExtMs.exe, dans le répertoire C:\Users\user\AppData\Local\PlatformServices\ EndpointDLP.dll présente un horodatage falsifié à 2070 (timestomping) 🛡️ Techniques d’évasion : ...

13 juin 2026 · 3 min

DragonBreath : vulnérabilité 0-day BYOVD dans dragoncore_k.sys liée à APT-Q-27 et APT31

🔍 Contexte Publié le 22 avril 2026 par Ransom-ISAC (Alex Necula & Ellis Stannard), ce rapport documente une vulnérabilité 0-day critique de type BYOVD dans le driver Windows dragoncore_k.sys, signé par Microsoft WHQL au nom de Zhengzhou 403 Network Technology Co., Ltd., une société écran chinoise dont le certificat GlobalSign EV a été explicitement révoqué pour abus. 🐛 Vulnérabilité technique Le driver expose une interface IOCTL non authentifiée (code 0x22201C) permettant à tout processus disposant de droits administrateur local de terminer des processus arbitraires depuis Ring 0, y compris ceux protégés par Protected Process Light (PPL), neutralisant ainsi tout EDR ou antivirus. Trois classes de vulnérabilités sont identifiées : ...

9 mai 2026 · 4 min

WindowsAudit : un RAT .NET modulaire utilisant Discord comme canal C2 principal

🔍 Contexte En avril 2026, l’équipe Profero IRT a identifié et analysé un backdoor .NET 8 nommé WindowsAudit.exe sur un hôte victime. L’analyse a été publiée le 28 avril 2026 sur le blog de Profero. L’activité a été signalée à la Direction nationale israélienne de la cybersécurité (INCD). La campagne est considérée comme potentiellement en phase de préparation vers une opération ransomware de plus grande envergure. 🧬 Caractéristiques du binaire Nom : WindowsAudit.exe (version interne v1.5.77) Type : RAT modulaire C# (.NET 8), single-file bundle natif Taille : 101 Mo, non signé Date de compilation : 19 mars 2026 Architecture : ~28 000 lignes de code C# avec séparation claire entre dispatch de commandes, transports C2 et modules fonctionnels 📡 Architecture C2 (trois canaux indépendants) Discord (primaire) : bot token hardcodé, gateway intents 33281, polling de deux canaux (tasking + résultats/transferts jusqu’à 25 Mo), reconnexion avec back-off aléatoire 15–30 secondes MQTT (secondaire) : broker HiveMQ Cloud public, port 8883 TLS, topics remoteadmin/commands et remoteadmin/results, client ID format ra-agent-{MachineName}-{short-guid} Telegram (optionnel) : ensemble de commandes réduit (ping, exec, ps, screenshot, etc.) 🔒 Mécanismes de persistance Service Windows WindowsAudit (LocalSystem, démarrage auto, récupération sur échec) Abonnement WMI Exclusion Windows Defender via Add-MpPreference Sauvegarde dans %CommonProgramData%\Microsoft\Windows\WinSAT\WinSATTemp.exe Clés de registre Run : WinSATService et WindowsAuditSvc sous HKCU\...\CurrentVersion\Run Tâche planifiée RemoteAdminEdrCleanup (déclenchée au démarrage en Safe Mode) Mutex : Global\WindowsAuditSingleInstance 🐾 Dropper compagnon : WinSATSvc Un second binaire .NET 8 (WinSATSvc.exe) se fait passer pour le service légitime Windows System Assessment Tool. Il vérifie toutes les 3 minutes si l’agent principal tourne, et si non, récupère des chunks GZip depuis Discord pour reconstituer et relancer WinSATTemp.exe (copie fraîche de l’agent principal). ...

29 avril 2026 · 5 min

DSCourier : PoC contournant CrowdStrike, MDE et Elastic via l'API COM WinGet/DSC

🔍 Contexte Publié le 19 avril 2026 sur GitHub par DylanDavis1, DSCourier est un outil de preuve de concept (PoC) accompagné d’un article de blog technique détaillé. Il s’inscrit dans une démarche de recherche offensive sur les techniques de contournement d’EDR. ⚙️ Technique exploitée DSCourier exploite l’API COM WinGet Configuration (Microsoft.Management.Configuration) pour appliquer des configurations DSC (Desired State Configuration) en passant par des binaires signés Microsoft. Cette approche permet de masquer l’activité malveillante derrière des processus légitimes et de confiance. ...

19 avril 2026 · 2 min

Wasm Stager : un implant compatible Sliver utilisant WebAssembly pour contourner les EDR

🧩 Contexte Publié le 22 mars 2026 sur le dépôt GitHub de BishopFox, le projet Wasm Stager est un toolkit offensif open-source conçu pour la recherche en sécurité offensive. Il exploite le standard WebAssembly System Interface (WASI) pour créer un outil d’accès distant multiplateforme. 🏗️ Architecture Le toolkit se compose de deux composants principaux : Stager : un runtime WASI qui charge et exécute le module implant avec une intégration système complète Implant : un module Wasm compatible Sliver, offrant des capacités de shell distant et de reconnaissance système ⚙️ Fonctionnement technique Le stager est configuré à la compilation avec les paramètres suivants : ...

22 mars 2026 · 2 min

Crypto24 : campagnes de ransomware furtives combinant outils légitimes et contournement d’EDR

Selon Trend Micro (publication de recherche), les opérateurs du ransomware Crypto24 mènent des attaques coordonnées et furtives contre des organisations de haut profil en Asie, en Europe et aux États-Unis, avec un focus sur les services financiers, la fabrication, le divertissement et la technologie. Les acteurs combinent des outils légitimes comme PSExec et AnyDesk avec des composants personnalisés, opèrent durant les heures creuses, et adoptent une approche en plusieurs étapes: escalade de privilèges, mouvement latéral, surveillance persistante via keylogger, exfiltration de données, puis déploiement de ransomware après désactivation des solutions de sécurité. ...

14 août 2025 · 2 min
Dernière mise à jour le: 14 juillet 2026 📝