Windows

Selon BleepingComputer, Microsoft annonce que les applications Microsoft 365 pour Windows bloqueront par défaut l’accès aux fichiers via le protocole d’authentification hérité FPRPC, jugé non sécurisé, à partir de la fin du mois d’août. 🔒 Mesure annoncée : blocage par défaut de l’accès aux fichiers via FPRPC. 🧩 Produits concernés : applications Microsoft 365 pour Windows. 🗓️ Calendrier : déploiement à partir de fin août. 🎯 Motif mis en avant : le protocole FPRPC est considéré comme non sécurisé. Type d’article : mise à jour de produit. Objectif principal : informer du durcissement par défaut contre un protocole d’authentification hérité non sécurisé. ...

L’article publié par GBHackers Security révèle une campagne de malware sophistiquée qui cible les systèmes Windows en utilisant des fichiers de raccourci LNK malveillants. Cette attaque a été découverte suite à la détection de deux adresses IP de scan, 91.238.181[.]225 et 5.188.86[.]169, partageant une empreinte SSH commune. Les chercheurs en cybersécurité ont identifié que cette campagne utilise les fichiers LNK pour déployer le REMCOS backdoor, un cheval de Troie d’accès à distance capable de compromettre entièrement un système. Le REMCOS est connu pour ses capacités à exécuter des commandes à distance, enregistrer les frappes au clavier et voler des informations sensibles. ...

En juillet 2025, une alerte a été diffusée concernant le ransomware Interlock, observé pour la première fois en septembre 2024. Ce malware cible principalement des entreprises et des infrastructures critiques en Amérique du Nord et en Europe. Le FBI a souligné que les acteurs derrière Interlock choisissent leurs victimes en fonction des opportunités, avec une motivation principalement financière. Ce ransomware est notable pour ses encryptors capables de chiffrer des machines virtuelles sur les systèmes d’exploitation Windows et Linux. ...

L’article publié par Trend Micro le 7 juillet 2025 met en lumière l’émergence du groupe de ransomware BERT, qui cible principalement les systèmes Windows et Linux en Asie et en Europe. BERT utilise des tactiques telles que des loaders basés sur PowerShell, l’escalade de privilèges, et le chiffrement simultané des fichiers pour exécuter des attaques efficaces. Sur les systèmes Linux, le ransomware peut utiliser jusqu’à 50 threads pour accélérer le chiffrement et peut forcer l’arrêt des machines virtuelles ESXi pour maximiser l’impact. ...

Selon BleepingComputer, Microsoft a confirmé un nouveau problème connu qui provoque des retards dans la livraison des mises à jour de sécurité Windows de juin 2025. Ce retard est dû à un horodatage de métadonnées incorrect. Les mises à jour de sécurité sont essentielles pour protéger les systèmes contre les vulnérabilités et les cyberattaques potentielles. Un retard dans leur livraison peut laisser les systèmes exposés plus longtemps que prévu. Ce problème affecte potentiellement tous les utilisateurs de Windows qui attendent les mises à jour de sécurité de juin 2025. Microsoft travaille probablement à résoudre ce problème pour minimiser l’impact sur ses utilisateurs. ...

L’article, rédigé par Grant Smith de Phantom Security Group, présente une nouvelle technique de persistance pour les applications Windows, appelée Phantom Persistence. Cette méthode utilise l’API RegisterApplicationRestart pour relancer des applications après un redémarrage du système. Cette technique a été découverte accidentellement lors de recherches sur l’exécution de payloads au moment de l’arrêt du système. Elle exploite une fonctionnalité souvent utilisée par les installateurs pour redémarrer les applications après un crash, en manipulant le processus de shutdown pour relancer une application à l’aide de l’argument EWX_RESTARTAPPS. ...

L’article provient du blog de RedTeam Pentesting GmbH et décrit une nouvelle vulnérabilité appelée Reflective Kerberos Relay Attack (CVE-2025-33073) découverte en janvier 2025. Cette vulnérabilité permet de contourner les restrictions mises en place pour empêcher le relais NTLM en utilisant Kerberos à la place. L’attaque repose sur la coercition d’un hôte Windows à s’authentifier via SMB, permettant ainsi de relayer le ticket Kerberos du compte de l’ordinateur vers l’hôte d’origine. Cela aboutit à l’obtention des privilèges NT AUTHORITY\SYSTEM et à l’exécution de code à distance. Un patch pour cette vulnérabilité a été publié par Microsoft le 10 juin 2025. ...

CYFIRMA a publié un rapport détaillé sur le malware DuplexSpy RAT, un cheval de Troie d’accès à distance (RAT) sophistiqué ciblant les systèmes Windows. Ce malware est capable de surveillance étendue, de persistance et de contrôle du système, utilisant des techniques d’exécution sans fichier et d’escalade de privilèges pour rester furtif. Le DuplexSpy RAT se distingue par ses fonctionnalités telles que la capture de clavier, la prise de captures d’écran, l’espionnage via webcam et audio, et l’accès à un shell distant. Il utilise des communications sécurisées grâce au chiffrement AES/RSA et à l’injection de DLL pour l’exécution de charges utiles en mémoire. Bien que publié pour des « fins éducatives » sur GitHub, sa polyvalence et sa facilité de personnalisation le rendent attrayant pour les acteurs malveillants. ...

L’article publié par CyberSecurity News met en lumière une vulnérabilité critique dans le logiciel Splunk Universal Forwarder pour Windows, identifiée sous le code CVE-2025-20298 avec un score CVSSv3.1 de 8.0. Cette faille résulte d’une mauvaise attribution des permissions lors de l’installation ou de la mise à jour du logiciel, affectant les versions inférieures à 9.4.2, 9.3.4, 9.2.6, et 9.1.9. Le problème est classé sous CWE-732, indiquant un problème fondamental avec les mécanismes de contrôle d’accès. ...

L’article publié sur le site de Yarix Labs discute de l’outil Doppelganger disponible sur GitHub, qui est pertinent dans le domaine de la cybersécurité. LSASS (Local Security Authority Subsystem Service) est un composant essentiel du système d’exploitation Windows, responsable de l’application de la politique de sécurité sur le système. Il joue un rôle fondamental dans l’authentification des utilisateurs en vérifiant les identités des utilisateurs et en gérant les sessions de sécurité. ...