Windows

Selon une publication technique signée par Pierre Le Bourhis (Sekoia.io), cette recherche détaille le fonctionnement d’OysterLoader (a.k.a. Broomstick/CleanUp), un loader C++ multi‑étapes distribué via faux sites d’installateurs MSI signés, utilisé dans des campagnes menant au ransomware Rhysida et à la diffusion de l’infostealer Vidar. — Aperçu et chaîne d’infection (4 étapes) Stage 1 – Packer/Obfuscator (TextShell) : API hammering massif (appels GDI/DLL sans but), résolution dynamique d’API par hachage custom, anti‑debug basique (IsDebuggerPresent → boucle infinie), allocation RWX et copie « mélangée » du stage suivant. Structure interne « core » embarquant données compressées, API résolues et config. Stage 2 – Shellcode : décompression LZMA custom (en‑tête et bitstream non standards), fixups de relocalisation (patch E8/E9), résolution d’imports via LoadLibraryA/GetProcAddress, changement des protections mémoire puis saut vers le payload reconstruit. Stage 3 – Downloader : vérifications d’environnement (compte les processus et quitte si < 60 ; fonction de test langue russe non appelée ; mesures de timing), premier contact C2 via HTTPS avec enregistrement (/reg) et déguisement réseau (entêtes x-amz-cf-id, Content-Encoding, UA « WordPressAgent » puis « FingerPrint »). Récupération du stage suivant via stéganographie dans une icône retournée par /login, décryptée en RC4 avec une clé hardcodée ; dépôt d’une DLL dans %APPDATA% et persistance par tâche planifiée (rundll32 DllRegisterServer, toutes les 13 min). Stage 4 – Core (COPYING3.dll) : réemploi de l’obfuscation (shellcode + LZMA custom), C2 HTTP clair (port 80) avec fallback sur 3 IPs, beacons et schéma JSON encodé par Base64 non standard avec décalage aléatoire (Mersenne Twister) et alphabet custom. Évolution récente vers /api/v2/ avec init/facade et rotation d’alphabet fournie par le C2 (champ tk) ; empreinte enrichie (t11/t12 : liste des processus et PIDs). — Déguisement, évasion et communication C2 ...

Source: SmarterTools (communiqué de Derek Curtis). Contexte: retour d’expérience après une intrusion constatée le 29 janvier 2026, avec précisions sur l’impact, les correctifs SmarterMail et les comportements malveillants observés chez des clients. SmarterTools indique qu’un serveur SmarterMail Windows non mis à jour (VM oubliée) a servi de point d’entrée, entraînant une intrusion réseau. La segmentation a limité l’impact: le site, la boutique et le portail clients n’ont pas été affectés; aucune application métier ni donnée de compte compromise. Des serveurs de lab/QC au data center ont été restaurés depuis une sauvegarde de 6 h par prudence. ...

Selon BleepingComputer, Microsoft annonce qu’il désactivera par défaut le protocole d’authentification NTLM, âgé de 30 ans, dans les prochaines versions de Windows. Ce changement est motivé par des vulnérabilités de sécurité qui exposent les organisations à des cyberattaques. Points clés 📝 Protocole concerné : NTLM (30 ans) Changement : désactivation par défaut 🚫 Motif : vulnérabilités de sécurité exposant les organisations à des cyberattaques ⚠️ Périmètre : prochaines versions de Windows Cette décision vise à réduire l’exposition liée à NTLM, compte tenu de ses faiblesses historiques, en le retirant de la configuration par défaut des futures versions du système. ...

Source: blog de Maxim Suhanov — Publication de recherche décrivant un artefact DFIR issu d’un bug du service Windows Event Logging (wevtsvc) qui réécrit de la mémoire non initialisée dans des fichiers EVTX après une purge. Le chercheur explique qu’un bug de sécurité mémoire (utilisation de mémoire non initialisée) dans le service de journalisation Windows peut entraîner, lorsqu’un journal EVTX rarement mis à jour est vidé, le remplissage de la zone ElfChnk par des restes de mémoire du service. Ces restes peuvent contenir des entrées récemment supprimées d’autres journaux, qui réapparaissent alors comme entrées « non allouées ». Dès que la première vraie entrée est écrite dans ce journal, la partie résiduelle est effacée, rendant le phénomène observable surtout sur des journaux peu actifs. ...

Selon BleepingComputer, un domaine typosquatté usurpant l’outil Microsoft Activation Scripts (MAS) a servi à propager des scripts PowerShell malveillants qui installent le chargeur Cosmali sur des systèmes Windows. Faits essentiels: Type d’attaque: typosquatting et usurpation d’outil légitime (MAS) 🪪 Vecteur/chaîne d’infection: scripts PowerShell malveillants exécutés depuis le faux site 🧩 Cible/impact: systèmes Windows infectés par Cosmali Loader (malware/loader) 🐛 Une campagne de typosquatting ciblant les utilisateurs de Microsoft Activation Scripts (MAS) a été utilisée pour diffuser un malware nommé Cosmali Loader via des scripts PowerShell malveillants. ...

Selon PixiePoint Security (22 décembre 2025), CVE-2025-29970 affecte le driver Windows Brokering File System (bfs.sys) utilisé avec AppContainer/AppSilo (Win32-App-isolation). L’analyse cible la version 26100.4061 et décrit un use-after-free dans la gestion de la liste chaînée DirectoryBlockList lors de la fermeture du stockage. Contexte. BFS est un mini-filtre qui gère des opérations I/O (fichiers, pipes, registre) pour des applications isolées. Il s’appuie sur des structures internes comme PolicyTable, PolicyEntry (référencée fréquemment, avec compteur), StorageObject (bitmaps, AVL, liste DirectoryBlockList) et DirectoryBlockList (liste chaînée d’entrées de répertoires et buffers associés). ...

Source: Cisco Talos — Dans une analyse technique, Talos détaille une campagne de ransomware DeadLock utilisant un loader BYOVD inédit pour exploiter la vulnérabilité du driver Baidu Antivirus (CVE-2024-51324), neutraliser les EDR, étendre l’accès puis chiffrer des systèmes Windows avec un algorithme maison. Exploitation BYOVD et évasion des défenses. L’acteur place un loader (« EDRGay.exe ») et le driver vulnérable de Baidu renommé (« DriverGay.sys ») dans le dossier Vidéos, initialise le périphérique « \.\BdApiUtil » et envoie un IOCTL 0x800024b4 (fonction 0x92D) pour forcer, en mode noyau, la terminaison des processus EDR (ZwTerminateProcess) sans vérification de privilèges — T1211: Exploitation for Defense Evasion. Cette étape désactive les défenses et élève les privilèges pour préparer le chiffrement. ...

Source: IT-Connect (article de Florian Burnel). Microsoft publie le Patch Tuesday de décembre 2025, dernier de l’année, avec 57 correctifs de sécurité, dont 3 vulnérabilités zero-day. Parmi elles, une est déjà activement exploitée. Le lot inclut 19 failles RCE, avec 3 critiques : Microsoft Office (CVE-2025-62554, CVE-2025-62557) et Microsoft Outlook (CVE-2025-62562). Les correctifs Edge ne sont pas comptabilisés. 🚨 Zero-day 1 — CVE-2025-62221 (Windows – Cloud Files Mini Filter): vulnérabilité de type use-after-free permettant une élévation de privilèges jusqu’à SYSTEM. Microsoft indique qu’elle est déjà exploitée. Versions affectées: Windows 10, Windows 11, Windows Server 2022, Windows Server 2025. ...

Source: billet technique de Lucas Laise. Contexte: analyse d’une vulnérabilité (CVE-2024-36424) dans K7 Ultimate Security v17.0.2045 menant d’un simple accès utilisateur à des privilèges SYSTEM, avec rétro‑ingénierie et étude des correctifs. Le chercheur identifie un mécanisme de communication par named pipe entre l’interface utilisateur (K7TSMain.exe) et un service SYSTEM (K7TSMngr), via le pipe « \.\pipe\K7TSMngrService1 ». En cochant l’option « Non Admin users can change settings and disable protection », des requêtes sont envoyées pour modifier des clés de registre en SYSTEM, permettant d’ouvrir les paramètres à tous les utilisateurs. Premier impact: désactivation de la protection antivirus et possibilité de whitelister des fichiers en tant qu’utilisateur non privilégié. ...

Source: Ars Technica (Dan Goodin), contexte: Microsoft a annoncé les fonctionnalités expérimentales Copilot Actions dans Windows et publié des avertissements sur leurs risques de sécurité. Microsoft introduit des « agentic features » permettant d’automatiser des tâches (organiser des fichiers, planifier des réunions, envoyer des emails) 🤖, mais précise que Copilot Actions est désactivé par défaut et ne devrait être activé que par des utilisateurs « expérimentés ». L’entreprise reconnaît des limites fonctionnelles des modèles et des risques spécifiques aux agents. ...