Windows

Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR. L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD). ...

Selon Huntress (blog de recherche), des chercheurs ont documenté une nouvelle variante des attaques ClickFix qui détourne la vérification Cloudflare Turnstile afin d’amener les victimes à télécharger l’infostealer MetaStealer, en s’appuyant sur Windows File Explorer et le protocole de recherche search-ms. Le scénario commence par un faux installateur AnyDesk redirigeant vers anydeesk[.]ink, où une fausse vérification Cloudflare Turnstile est affichée. En cliquant sur la vérification, la victime est redirigée via l’URI search-ms vers l’Explorateur Windows et un partage SMB contrôlé par l’attaquant. ...

Source: fluxsec.red — Publication décrivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows. 🛡️ Sanctum est un EDR expérimental open source visant à détecter des techniques de malware modernes, au‑delà des capacités d’un antivirus (AV). Le projet ambitionne de couvrir à la fois les rôles d’AV et d’EDR, et se présente comme une preuve de concept destinée à documenter l’apprentissage et la progression de l’auteur. ...

Source et contexte — WeLiveSecurity (ESET Research) publie une analyse d’exploitation active d’une vulnérabilité zero‑day de WinRAR, identifiée comme CVE‑2025‑8088, découverte le 18 juillet 2025 et corrigée le 30 juillet 2025 (WinRAR 7.13). La faille permet, via des flux de données alternatifs (ADSes), une traversée de chemin conduisant au déploiement silencieux de fichiers malveillants lors de l’extraction. Les composants affectés incluent WinRAR, ses utilitaires en ligne de commande Windows, UnRAR.dll et le code source UnRAR portable. ...

Selon BleepingComputer, Microsoft annonce que les applications Microsoft 365 pour Windows bloqueront par défaut l’accès aux fichiers via le protocole d’authentification hérité FPRPC, jugé non sécurisé, à partir de la fin du mois d’août. 🔒 Mesure annoncée : blocage par défaut de l’accès aux fichiers via FPRPC. 🧩 Produits concernés : applications Microsoft 365 pour Windows. 🗓️ Calendrier : déploiement à partir de fin août. 🎯 Motif mis en avant : le protocole FPRPC est considéré comme non sécurisé. Type d’article : mise à jour de produit. Objectif principal : informer du durcissement par défaut contre un protocole d’authentification hérité non sécurisé. ...

L’article publié par GBHackers Security révèle une campagne de malware sophistiquée qui cible les systèmes Windows en utilisant des fichiers de raccourci LNK malveillants. Cette attaque a été découverte suite à la détection de deux adresses IP de scan, 91.238.181[.]225 et 5.188.86[.]169, partageant une empreinte SSH commune. Les chercheurs en cybersécurité ont identifié que cette campagne utilise les fichiers LNK pour déployer le REMCOS backdoor, un cheval de Troie d’accès à distance capable de compromettre entièrement un système. Le REMCOS est connu pour ses capacités à exécuter des commandes à distance, enregistrer les frappes au clavier et voler des informations sensibles. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article publié par Trend Micro le 7 juillet 2025 met en lumière l’émergence du groupe de ransomware BERT, qui cible principalement les systèmes Windows et Linux en Asie et en Europe. BERT utilise des tactiques telles que des loaders basés sur PowerShell, l’escalade de privilèges, et le chiffrement simultané des fichiers pour exécuter des attaques efficaces. Sur les systèmes Linux, le ransomware peut utiliser jusqu’à 50 threads pour accélérer le chiffrement et peut forcer l’arrêt des machines virtuelles ESXi pour maximiser l’impact. ...

Selon BleepingComputer, Microsoft a confirmé un nouveau problème connu qui provoque des retards dans la livraison des mises à jour de sécurité Windows de juin 2025. Ce retard est dû à un horodatage de métadonnées incorrect. Les mises à jour de sécurité sont essentielles pour protéger les systèmes contre les vulnérabilités et les cyberattaques potentielles. Un retard dans leur livraison peut laisser les systèmes exposés plus longtemps que prévu. Ce problème affecte potentiellement tous les utilisateurs de Windows qui attendent les mises à jour de sécurité de juin 2025. Microsoft travaille probablement à résoudre ce problème pour minimiser l’impact sur ses utilisateurs. ...

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...