Windows

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

📰 Source : BleepingComputer — Date de publication : 17 mai 2026 Un chercheur en sécurité connu sous les pseudonymes Chaotic Eclipse ou Nightmare Eclipse a publié un exploit proof-of-concept (PoC) pour une vulnérabilité zero-day Windows baptisée MiniPlasma, permettant une escalade de privilèges jusqu’au niveau SYSTEM sur des systèmes Windows 11 entièrement à jour (incluant les mises à jour Patch Tuesday de mai 2026). 🔍 Détails techniques La faille affecte le driver cldflt.sys (Cloud Filter driver) et plus précisément la routine HsmOsBlockPlaceholderAccess. Elle permet la création de clés de registre arbitraires dans la ruche .DEFAULT sans vérification d’accès appropriée, via une API non documentée CfAbortHydration. Cette vulnérabilité avait été initialement découverte et signalée à Microsoft en septembre 2020 par James Forshaw (Google Project Zero), assignée sous l’identifiant CVE-2020-17103 et supposément corrigée en décembre 2020. Le chercheur affirme que le correctif n’a jamais été réellement appliqué ou a été silencieusement révoqué. ...

📅 Source : GBHackers Security | Date de publication : 11 mai 2026 Contexte Une campagne malveillante a été identifiée exploitant un faux site de téléchargement de l’IA Claude (Anthropic) pour distribuer un malware. Les attaquants ont enregistré le domaine claude-pro[.]com, imitant visuellement le site légitime d’Anthropic, afin de tromper les victimes. Mécanisme d’attaque La chaîne d’infection repose sur plusieurs composants : 🎯 Malvertising : vecteur initial pour diriger les victimes vers le faux site 📦 Installateur trojanisé : faux installateur Claude distribué via le site frauduleux 🔗 DLL sideloading style PlugX : technique d’exécution furtive utilisant des composants de logiciels de sécurité signés légitimement 🚪 Backdoor “Beagle” : nouveau backdoor Windows déployé en charge finale, permettant persistance et contrôle à distance Caractéristiques notables La campagne combine malvertising, ingénierie sociale (usurpation d’identité d’un outil IA populaire), et l’abus de binaires signés pour contourner les défenses. Le recours à des composants légitimes de logiciels de sécurité pour le sideloading vise à échapper à la détection. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur anonyme se faisant appeler “Chaotic Eclipse” ou “Nightmare Eclipse”, qui affirme avoir été lésé personnellement par Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass BitLocker L’exploit nommé “Yellow Key” permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque requiert : Brancher une clé USB contenant l’exploit sur la machine cible Redémarrer dans l’environnement de récupération Windows (WinRE) Entrer une combinaison de touches spécifique Un shell avec accès non restreint au volume chiffré est alors obtenu Le chercheur suspecte que le composant vulnérable a été intentionnellement planté dans l’environnement de récupération, car il est présent dans une installation Windows normale mais sans les fonctionnalités déclenchant le bypass. Les systèmes affectés sont Windows 11, Windows Server 2022 et Windows Server 2025 (Windows 10 non concerné). L’exploit est disponible publiquement sur GitHub et a été confirmé fonctionnel par le chercheur KevTheHermit. ...

🗓️ Contexte Publié le 13 mai 2026 par Cybernews, cet article rapporte la troisième vague de divulgations publiques de zero-days Windows par un chercheur en sécurité anonyme, opérant sous les alias “Chaotic Eclipse” et “Nightmare Eclipse”. Ces publications sont systématiquement effectuées juste après le Patch Tuesday de Microsoft. 🔓 Exploit 1 : “Yellow Key” — Bypass de BitLocker Le premier exploit, nommé “Yellow Key”, permet de contourner entièrement le chiffrement BitLocker sur les systèmes affectés. Le vecteur d’attaque nécessite : ...

🔍 Contexte Article technique publié le 4 mai 2026 par Remco van der Meer sur incendium.rocks, présentant des mises à jour du projet MS-RPC-Fuzzer et les résultats obtenus, notamment la découverte d’une escalade de privilèges vers NT AUTHORITY\SYSTEM. 🛠️ Améliorations du fuzzer MS-RPC Deux fonctionnalités majeures ont été implémentées : Fuzzing récursif des structures complexes : trois fonctions coopérantes (New-FuzzedInstance, Get-FuzzFieldValue, New-NdrEmbeddedPointerValue) permettent de traverser récursivement les structures NDR imbriquées, avec des garde-fous anti-récursion infinie (profondeur max 8, ensemble $Visited). Support des types Union : gestion des unions MS-RPC IDL en sélectionnant aléatoirement un bras (Arm_N) et en synchronisant le discriminant pour éviter l’erreur No matching union selector when marshaling. 📡 Remplacement de Process Monitor par ETW Le fuzzer utilise désormais Event Tracing for Windows (ETW) via P/Invoke sur advapi32.dll et tdh.dll pour surveiller l’activité fichier et registre : ...

🔍 Contexte Publié le 21 avril 2026 par Anna Širokova sur le blog Rapid7, cet article présente une analyse technique approfondie du ransomware Kyber, découvert lors d’un engagement de réponse à incident en mars 2026. Deux variantes ont été récupérées dans le même environnement victime, offrant une opportunité rare d’analyse comparative. 🧩 Description des variantes Variante Linux/ESXi (ELF) Binaire 64-bit ELF, écrit en C++ (GCC 4.4.7), non packé, non obfusqué Cible explicitement les datastores VMware ESXi (/vmfs/volumes) Utilise les outils natifs ESXi : esxcli pour lister et terminer les VMs Chiffrement réel : ChaCha8 + RSA-4096 (wrapping de clé), malgré une note de rançon affirmant AES-256-CTR + X25519 + Kyber1024 Extension des fichiers chiffrés : .xhsyw Note de rançon : readme.txt Déface les interfaces SSH (/etc/motd) et web VMware (/usr/lib/vmware/hostd/docroot/index.html) Exécution en arrière-plan via fork() + setsid() pour survivre à la fermeture de session SSH Chiffrement partiel basé sur la taille des fichiers (10% par défaut pour les fichiers >4 MB) Variante Windows (PE) Binaire 64-bit PE, écrit en Rust (MSVC/VS2022), non packé, non obfusqué Chemin de build exposé : C:\Users\user\.cargo\registry\src\index.crates.io-6f17d22bba15001f Chiffrement réel : AES-256-CTR + Kyber1024 + X25519 (conforme aux affirmations de la note) Extension des fichiers chiffrés : .#~~~ Note de rançon : READ_ME_NOW.txt Pipeline d’entropie personnalisé (temps système, CSPRNG Windows, RDRAND, données de processus) Fonctionnalité Hyper-V expérimentale via PowerShell (Get-VM, Stop-VM -Force -TurnOff) 11 commandes anti-récupération si exécuté avec élévation de privilèges : Suppression des shadow copies (WMI, WMIC, vssadmin) Désactivation du Windows Recovery Environment (bcdedit) Suppression des sauvegardes système (wbadmin) Arrêt d’IIS, effacement des journaux d’événements (wevtutil), vidage de la corbeille Terminaison de services : msexchange, vss, backup, veeam, sql Enregistrement d’une icône personnalisée pour les fichiers .#~~~ via le registre Windows Mutex : boomplay[.]com/songs/182988982 🔗 Infrastructure partagée Les deux variantes partagent un identifiant de campagne commun (5176[REDACTED]) et une infrastructure Tor : ...

📅 Contexte Article publié le 13 avril 2026 sur Tomsguide.fr, basé sur le document technique Microsoft Support KB5062710. Il traite de l’expiration imminente des certificats cryptographiques fondant la chaîne de confiance du Secure Boot Windows, émis en 2011 à l’époque de Windows 8. 🔐 Certificats concernés et calendrier Microsoft a publié un calendrier précis d’expiration : Certificat KEK (Key Enrollment Key) : expiration en juin 2026 Certificat UEFI CA : expiration en juin 2026 Certificat Windows Production PCA : expiration en octobre 2026 Des versions de remplacement millésimées 2023 doivent prendre le relais. ...

🗓️ Contexte Publié le 14 avril 2026 par Johannes Ullrich sur l’Internet Storm Center (SANS ISC), cet article analyse le Patch Tuesday Microsoft d’avril 2026, décrit comme potentiellement record en nombre de correctifs. 📊 Vue d’ensemble des correctifs 243 vulnérabilités corrigées au total 78 issues Chromium affectant Microsoft Edge (publiées antérieurement) 165 vulnérabilités hors Edge 8 critiques 154 importantes 1 vulnérabilité déjà exploitée dans la nature 1 vulnérabilité divulguée publiquement avant le patch, sans exploitation observée 🔴 Vulnérabilités notables CVE-2026-33827 – Windows TCP/IP Remote Code Execution : race condition permettant l’exécution de code arbitraire via le réseau CVE-2026-33825 – Microsoft Defender Elevation of Privilege : déjà divulguée publiquement avant le patch CVE-2026-32201 – Microsoft SharePoint Server Spoofing : déjà exploitée activement; deux vulnérabilités de spoofing SharePoint similaires corrigées ce mois-ci CVE-2026-33826 – Windows Active Directory Remote Code Execution : CVSS 8.0, classée critique par Microsoft CVE-2026-32190 – Microsoft Office Remote Code Execution CVE-2026-33114 – Microsoft Word Remote Code Execution (critique) CVE-2026-33115 – Microsoft Word Remote Code Execution (critique) CVE-2026-32157 – Remote Desktop Client Remote Code Execution : exploitation via connexion à un serveur RDP malveillant ou clic sur un lien rdp: CVE-2026-33824 – Windows IKE (Internet Key Exchange) Service Extensions Remote Code Execution : composant IPSEC, non activé par défaut 📌 Type d’article Article de type patch de sécurité / analyse technique mensuelle, visant à informer les équipes de sécurité sur les correctifs prioritaires à déployer. ...

🔍 Contexte Publié le 8 avril 2026 par Bobby Gould et Michael DePlante sur le blog de la Zero Day Initiative (ZDI), cet article détaille une vulnérabilité structurelle dans la résolution de modules Node.js sur Windows, initialement signalée en septembre 2024 par un chercheur anonyme. ⚙️ Cause racine Lorsqu’une application Node.js appelle require('bar'), le runtime parcourt une liste de chemins jusqu’à atteindre C:\node_modules. Sur Windows, tout utilisateur peu privilégié peut créer ce répertoire et y déposer un module malveillant. Si la dépendance légitime est absente (optionnelle, supprimée en production, ou non installée), Node.js charge et exécute le fichier malveillant dans le contexte de l’utilisateur courant. ...