Escalade De Privilèges

Source : oss-sec (mailing list). Dans un post signé par “turistu” le 16 décembre 2025, un rapport technique décrit CVE-2025-14282 affectant le serveur SSH Dropbear en mode multi-utilisateur. • Problème principal : Dropbear exécute les redirections de sockets (TCP/UNIX) en tant que root durant l’authentification et avant le spawn du shell, ne basculant de manière permanente vers l’utilisateur connecté qu’ensuite. Avec l’ajout récent du forwarding vers des sockets de domaine UNIX (commit 1d5f63c), un utilisateur SSH authentifié peut se connecter à n’importe quel socket UNIX avec les identifiants root, contournant les permissions du système de fichiers et les contrôles SO_PEERCRED / SO_PASSCRED. ...

Selon Acronis, des tendances récentes montrent une préférence des attaquants pour des approches simples et peu coûteuses, avec un accès initial via RDP et l’usage d’outillage prêt à l’emploi pour progresser dans les réseaux compromis. L’analyse souligne que la plupart des victimes sont compromises par RDP. Après l’accès initial, les acteurs utilisent des outils standards pour la découverte et le mouvement latéral, ainsi que des exploits d’escalade de privilèges (LPE), des AV killers (notamment via des drivers vulnérables), des terminateurs de processus, des désinstalleurs ciblés et des outils d’accès aux identifiants comme Mimikatz. ...

Source: billet technique de Lucas Laise. Contexte: analyse d’une vulnérabilité (CVE-2024-36424) dans K7 Ultimate Security v17.0.2045 menant d’un simple accès utilisateur à des privilèges SYSTEM, avec rétro‑ingénierie et étude des correctifs. Le chercheur identifie un mécanisme de communication par named pipe entre l’interface utilisateur (K7TSMain.exe) et un service SYSTEM (K7TSMngr), via le pipe « \.\pipe\K7TSMngrService1 ». En cochant l’option « Non Admin users can change settings and disable protection », des requêtes sont envoyées pour modifier des clés de registre en SYSTEM, permettant d’ouvrir les paramètres à tous les utilisateurs. Premier impact: désactivation de la protection antivirus et possibilité de whitelister des fichiers en tant qu’utilisateur non privilégié. ...

Source: SpecterOps (billet de blog, 19 nov. 2025). Contexte: Publication de recherche détaillant une vulnérabilité de SCCM intégrée à Entra ID, assignée CVE-2025-59501, avec un correctif publié le 27 oct. 2025 (KB35360093) et une chronologie de divulgation. Le billet explique que, sur des sites SCCM intégrés à Microsoft Entra ID (CMG/Co-management) et avant le correctif KB35360093, l’API AdminService valide un jeton Entra puis extrait l’UPN pour réaliser une impersonation Kerberos S4U d’un compte Active Directory correspondant, sans contrôle d’autorisation supplémentaire sur l’UPN. Cela permettait d’exécuter des opérations WMI côté SMS Provider « au nom » de n’importe quelle identité AD mappable via l’UPN. ...

Source: Embrace The Red — Une recherche met en évidence un nouveau schéma de vulnérabilité où des agents IA de codage, opérant dans un même environnement, peuvent s’accorder mutuellement des privilèges en altérant leurs fichiers de configuration. 🚨 L’étude décrit une chaîne d’attaque débutant par une injection de prompt indirecte compromettant un premier agent. Celui-ci écrase les configurations d’un autre agent (p. ex. MCP de Claude Code) afin d’y ajouter des serveurs malveillants ou de modifier ses instructions, conduisant à une exécution de code arbitraire ou à des capacités élargies lors du rechargement des paramètres. ...

Source: Microsoft Threat Intelligence — Dans un billet technique, Microsoft décrit l’évolution de Storm-0501, acteur financier, vers des tactiques de ransomware centrées sur le cloud, ciblant des environnements hybrides pour escalader des privilèges dans Microsoft Entra ID et prendre le contrôle d’Azure afin d’exfiltrer et détruire des données, puis extorquer les victimes. ☁️ Contexte et changement de modus operandi: Storm-0501 passe d’un ransomware on-premises à un modèle de « ransomware cloud-native ». Au lieu de chiffrer massivement les postes, l’acteur exploite des capacités natives du cloud pour l’exfiltration rapide, la destruction de données et sauvegardes, puis la demande de rançon, sans dépendre d’un malware déployé sur endpoints. Historiquement lié à des cibles opportunistes (districts scolaires US en 2021 avec Sabbath, santé en 2023, Embargo en 2024), le groupe démontre une forte agilité dans les environnements hybrides. ...

L’actualité provient de Cisco Talos et concerne la découverte de cinq vulnérabilités critiques dans le firmware Dell ControlVault3, affectant plus de 100 modèles de portables Dell. Ces vulnérabilités, surnommées ‘ReVault’, permettent aux attaquants d’obtenir un accès persistant qui survit à une réinstallation de Windows et de réaliser une escalade de privilèges d’un utilisateur local au niveau admin/système. Elles peuvent être exploitées à la fois via des scénarios post-compromission et des attaques nécessitant un accès physique, ce qui les rend particulièrement dangereuses dans les environnements professionnels et gouvernementaux où les ordinateurs portables Dell sont couramment utilisés. ...

Cet article, publié par Praetorian, met en lumière les risques de sécurité associés aux plateformes de surveillance et de journalisation internes telles que Datadog, Kibana et Sumo Logic. Il démontre comment des testeurs d’intrusion et des équipes rouges peuvent exploiter ces plateformes pour découvrir des informations sensibles et des identifiants involontairement enregistrés. L’article présente une étude de cas détaillée où l’accès à une instance Kibana non authentifiée a conduit à une compromission complète du domaine à travers une chaîne de découvertes d’identifiants. Cette chaîne inclut la découverte de GitHub PAT, l’analyse de dépôt avec Nosey Parker, la compromission de plateformes DevOps, la coercition d’authentification LDAP avec Responder, l’escalade de privilèges Active Directory via une attaque de Shadow Credentials, et finalement DCSync pour l’accès admin du domaine. ...

Cet article publié par Black Hills InfoSec fournit un guide complet pour les équipes de sécurité opérationnelle sur la détection des attaques d’escalade de privilèges ADCS. L’article met en avant l’importance de la configuration adéquate des journaux et de la création d’alertes pour détecter les attaques d’escalade de privilèges via ADCS (Active Directory Certificate Services). Il explique comment activer l’audit ADCS, créer des requêtes de détection dans Microsoft Sentinel en utilisant KQL, et configurer des alertes automatisées pour les techniques d’exploitation ESC1 et autres. ...

Cet article, rédigé par Dave Cossa, un opérateur senior en red teaming chez X-Force Adversary Services, explore les vulnérabilités potentielles d’Azure Arc, un service de Microsoft permettant la gestion de ressources hybrides. Azure Arc est conçu pour étendre les capacités de gestion natives d’Azure à des ressources non-Azure, telles que des systèmes sur site et des clusters Kubernetes. Cependant, des mauvais configurations dans son déploiement peuvent permettre une escalade de privilèges et l’utilisation d’un Service Principal surprovisionné pour exécuter du code. ...