PoC

🔍 Contexte Publié le 13 mai 2026 sur SANS ISC Diary, cet article présente Fragnesia, un exploit d’élévation de privilèges locale (LPE) universel sous Linux, découvert par William Bowling de l’équipe V12 Security. Le code source est disponible publiquement sur GitHub. 🐛 Vulnérabilité Fragnesia appartient à la classe de vulnérabilités Dirty Frag, distincte du bug original dirtyfrag mais exploitant la même surface d’attaque : le sous-système Linux XFRM ESP-in-TCP. Le bug est un logic bug : le SKB (socket buffer) « oublie » qu’un fragment est partagé lors de la coalescence. ...

🗓️ Contexte Source : Help Net Security, article de Zeljka Zorz publié le 17 avril 2026. L’article couvre la publication successive de trois exploits zero-day ciblant Microsoft Defender, ainsi que leur exploitation active observée dans la nature. 🔍 Les trois exploits Un chercheur anonyme opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse a publié trois PoC sur GitHub : BlueHammer (publié le 3 avril 2026) : vulnérabilité d’élévation de privilèges dans Microsoft Defender. Associée au CVE-2026-33825, corrigée par Microsoft le 14 avril 2026. Les chercheurs officiellement crédités pour ce CVE sont Zen Dodd et Yuanpei Xu, distincts du chercheur anonyme. RedSun (publié le 16 avril 2026) : second flaw d’élévation de privilèges dans Microsoft Defender. Son efficacité a été confirmée par le vulnerability analyst Will Dormann. UnDefend (publié le 16 avril 2026) : permet à un utilisateur standard de bloquer les mises à jour de signatures de Microsoft Defender ou de le désactiver entièrement lors d’une mise à jour majeure. Le dépôt GitHub reste accessible malgré un avertissement de la plateforme (propriété de Microsoft). ...

🔍 Contexte Publié le 16 avril 2026 sur GitHub par l’utilisateur Nightmare-Eclipse, le dépôt RedSun expose une vulnérabilité affectant Windows Defender (antivirus Microsoft). Le code source est disponible en C++ sous licence MIT. 🐛 Description de la vulnérabilité La vulnérabilité repose sur un comportement inattendu de Windows Defender lors de la détection d’un fichier malveillant portant un cloud tag : Lorsque Windows Defender identifie un fichier malveillant avec un cloud tag, au lieu de le supprimer, il réécrit le fichier à son emplacement d’origine. Le PoC abuse de ce comportement pour écraser des fichiers système arbitraires. L’exploitation permet d’obtenir des privilèges administrateurs (élévation de privilèges). 💻 Détails techniques Langage : C++ (100%) Fichier principal : RedSun.cpp Le dépôt contient une release initiale publiée la veille de l’article. 664 étoiles et 128 forks au moment de la publication, indiquant une forte visibilité communautaire. 📌 Type d’article Il s’agit d’une publication de PoC (Proof of Concept) accompagnée d’une description technique de la vulnérabilité. Le but principal est de divulguer publiquement un comportement anormal de Windows Defender exploitable pour une élévation de privilèges locale. ...

🔍 Contexte Publié sur GitHub (Whitecat18/Rust-for-Malware-Development), cet article présente un proof-of-concept (PoC) en Rust implémentant un contournement de l’Antimalware Scan Interface (AMSI) de Microsoft sans modifier un seul octet de amsi.dll. ⚙️ Mécanisme technique La technique repose sur l’exploitation des exceptions de page mémoire gardée (Page Guard) : La page mémoire contenant AmsiScanBuffer est transformée en « trap » via VirtualProtect avec le flag PAGE_GUARD. Tout appel à AmsiScanBuffer déclenche une violation de page gardée (exception 0x80000001) avant l’exécution de la première instruction. Un Vectored Exception Handler (VEH) intercepte cette exception et : Écrit AMSI_RESULT_CLEAN dans la variable résultat du caller (via déréférencement du pointeur en [Rsp+0x30]). Simule un ret pour retourner au caller. Réarme le piège via une exception de single-step (0x80000004) pour le prochain appel. 🧩 Point critique d’implémentation L’article souligne un gotcha critique : l’argument 6 sur la pile ([Rsp+0x30]) est un pointeur vers AMSI_RESULT, pas la valeur directe. Il faut charger le pointeur puis le déréférencer — écrire directement dans le slot de pile corrompt la pile sans affecter la variable résultat du caller. ...

🔍 Contexte Publié sur GitHub par l’utilisateur daem0nc0re dans le dépôt PrivFu (907 étoiles, 129 forks), ce fichier source C# constitue un proof-of-concept (PoC) démontrant l’utilisation du privilège Windows SeLockMemoryPrivilege. ⚙️ Fonctionnement technique Le PoC illustre comment un processus disposant du privilège SeLockMemoryPrivilege peut : Appeler GetLargePageMinimum() (kernel32.dll) pour obtenir la taille minimale d’une Large Page Allouer une Large Page en mémoire physique via VirtualAlloc() avec les flags MEM_COMMIT | MEM_RESERVE | MEM_LARGE_PAGES Libérer la mémoire allouée via VirtualFree() Gérer proprement l’interruption Ctrl+C avec un handler de nettoyage 🛠️ APIs Windows utilisées kernel32.dll → GetLargePageMinimum, VirtualAlloc, VirtualFree Flags d’allocation : MEM_LARGE_PAGES, MEM_COMMIT, MEM_RESERVE Protection mémoire : PAGE_READWRITE 🎯 Objectif du PoC Le code démontre qu’un attaquant ou un processus disposant de SeLockMemoryPrivilege peut consommer de la mémoire physique via des Large Pages ou AWE (Address Windowing Extensions), ce qui peut être exploité à des fins de déni de service local ou d’abus de privilèges Windows. ...

Source: pwn.guide — Publication technique présentant une vulnérabilité critique dans GNU InetUtils telnetd, avec explications détaillées et PoC. 🚨 Vulnérabilité: CVE-2026-32746 est un débordement de tampon pré-authentification dans le gestionnaire LINEMODE SLC de GNU InetUtils telnetd (versions jusqu’à 2.7). La fonction add_slc() écrit des triplets SLC (3 octets chacun) dans un buffer fixe de 108 octets sans contrôle de bornes, débordant après ~35 triplets (104 octets utiles). CVSS 3.1: 9.8 (Critique); CWE-120 / CWE-787. ...

Selon la publication du PoC « mongobleed » (auteur : Joe Desimone), une vulnérabilité référencée CVE-2025-14847 affecte la décompression zlib de MongoDB et permet de faire fuiter de la mémoire serveur sans authentification. • Nature de la faille: un défaut dans la gestion de la décompression zlib retourne la taille du tampon alloué au lieu de la longueur réelle des données décompressées. En déclarant un champ « uncompressedSize » gonflé, le serveur alloue un grand tampon, zlib écrit les données au début, mais MongoDB traite l’intégralité du tampon comme valide, entraînant la lecture de mémoire non initialisée pendant l’analyse BSON. ...

Selon Cyble, une poussée de preuves de concept (PoC) et de failles zero-day — dont CVE-2025-9642 et CVE-2025-20363 — accroît l’urgence d’appliquer des correctifs de sécurité. 🚨 Les chercheurs en vulnérabilités de Cyble ont recensé 648 failles la semaine dernière, dont près de 26 % disposent déjà de preuves de concept (Proof-of-Concept, PoC) publiques, augmentant ainsi le risque d’attaques concrètes. Parmi elles, 27 sont qualifiées de critiques selon la norme CVSS v3.1, tandis que cinq le sont selon la plus récente CVSS v4.0. ...

Selon l’Operational Summary de l’ACN (Agenzia per la Cybersicurezza Nazionale) italienne pour le mois de juillet, le volume de vulnérabilités et la disponibilité de preuves de concept publiques continuent de progresser. Donnée clé: près de 4 000 CVE ont été publiées en juillet, confirmant une dynamique soutenue de divulgation de vulnérabilités. Tendance notable: une croissance constante des PoC publics est observée, ce qui réduit les délais de weaponization ⏱️, facilitant une exploitation plus rapide des failles après leur publication. ...

L’article publié par GreyNoise Labs met en lumière les défis croissants auxquels sont confrontés les ingénieurs en détection face aux exploits de preuve de concept (PoC) générés par intelligence artificielle. Ces PoC, bien qu’ils paraissent légitimes, sont souvent techniquement défectueux et perturbent les efforts de recherche et les logiques de détection. Les caractéristiques techniques de ces PoC générés par IA incluent des points de terminaison API hallucinés, des modèles de charge utile génériques, des en-têtes HTTP incorrects, et des erreurs de copie-collage. L’article fournit des exemples concrets tirés des CVE-2025-20281, CVE-2025-20337, et CVE-2025-20188, illustrant comment ces faux exploits ciblent des points de terminaison erronés et utilisent des charges utiles non fonctionnelles. ...