Privilege-Escalation

Picus Security a publié une analyse complète du groupe de ransomware Ryuk mettant en lumière leurs attaques ciblées contre des grandes organisations, notamment dans le secteur de la santé et les entités gouvernementales. L’analyse cartographie la chaîne d’attaque de Ryuk selon le cadre MITRE ATT&CK, couvrant des tactiques allant de l’accès initial par hameçonnage ciblé au mouvement latéral, l’escalade de privilèges, et l’impact final de chiffrement. Les principales découvertes incluent l’utilisation par Ryuk de techniques de chiffrement à double impact, la désactivation systématique des services de sauvegarde, et des méthodes d’évasion sophistiquées. La plateforme Picus Security Validation Platform est mise en avant pour sa capacité à simuler ces attaques afin de tester les défenses organisationnelles et identifier les failles de sécurité avant que les attaquants ne puissent les exploiter. ...

Microsoft Threat Intelligence a découvert une vulnérabilité critique sur macOS, identifiée sous le nom de CVE-2025-31199 ou ‘Sploitlight’. Cette faille permet aux attaquants de contourner les protections Transparency, Consent, and Control (TCC) en utilisant des plugins Spotlight malveillants. La vulnérabilité permet un accès non autorisé à des fichiers sensibles dans des répertoires protégés tels que Downloads et Pictures. Plus grave encore, elle peut extraire des données privées mises en cache par Apple Intelligence, y compris des données de géolocalisation, des métadonnées de photos, des données de reconnaissance faciale et l’historique de recherche. ...

Cet article publié par The Zero Day Initiative (ZDI) met en lumière des vulnérabilités critiques dans le logiciel Cisco Identity Services Engine (ISE) qui permettent une exécution de code à distance sans authentification préalable. Les chercheurs en sécurité ont identifié des failles de désérialisation et des faiblesses d’injection de commandes dans la méthode enableStrongSwanTunnel de la classe DescriptionRegistrationListener. Ces vulnérabilités peuvent être exploitées pour compromettre entièrement le système. L’exploitation nécessite de contourner les limitations de tokenisation de Java et d’échapper d’un conteneur Docker privilégié pour obtenir un accès root sur le système hôte. Les attaquants peuvent manipuler les cgroups Linux et exécuter des commandes sur le serveur ISE hôte. ...