Zero-Day

📅 Source : Cyber Security News — 10 juin 2026 (Patch Tuesday) 🔍 Contexte Le chercheur Nightmare Eclipse (également suivi sous les alias Chaotic Eclipse et Dead Eclipse) a publié sur GitHub un exploit proof-of-concept (PoC) nommé RoguePlanet, ciblant une vulnérabilité zero-day non encore référencée par Microsoft dans Microsoft Windows Defender. ⚙️ Nature de la vulnérabilité RoguePlanet exploite une race condition de type TOCTOU (Time-of-Check to Time-of-Use) dans la logique de traitement interne de Windows Defender. Un utilisateur non privilégié peut rediriger une opération fichier effectuée par Defender (qui s’exécute en tant que SYSTEM) via des NTFS junction points, afin d’exécuter du code arbitraire au niveau de privilège le plus élevé (Local Privilege Escalation — LPE). ...

📅 Source : BleepingComputer — Date : 9 juin 2026 Microsoft a publié son Patch Tuesday de juin 2026, corrigeant 200 vulnérabilités dont 6 zero-days sur l’ensemble de son écosystème logiciel. Ce bulletin massif couvre des dizaines de composants Windows, des produits cloud Azure, des applications Office, Exchange Server, Visual Studio Code et bien d’autres. 🔴 Vulnérabilités critiques notables CVE-2026-45648 — Windows Active Directory Domain Services Remote Code Execution (Critical) CVE-2026-45476 — Microsoft Azure Network Adapter (Linux MANA Driver) Elevation of Privilege (Critical) CVE-2026-33828 — Windows Device Health Attestation Elevation of Privilege (Critical) CVE-2026-32193 — Azure Kubernetes Service Remote Code Execution (Critical) CVE-2026-45463 / CVE-2026-45474 / CVE-2026-45472 / CVE-2026-45458 / CVE-2026-47635 / CVE-2026-45456 / CVE-2026-45461 — Microsoft Office Remote Code Execution multiples (Critical) CVE-2026-42985 / CVE-2026-47289 / CVE-2026-47654 / CVE-2026-42992 / CVE-2026-44801 / CVE-2026-44799 / CVE-2026-48563 — Remote Desktop Client Remote Code Execution multiples (Critical) CVE-2026-47288 — Windows Kerberos KDC Remote Code Execution (Critical) CVE-2026-47291 — HTTP.sys Remote Code Execution (Critical) CVE-2026-45641 / CVE-2026-47652 / CVE-2026-45607 — Windows Hyper-V Remote Code Execution (Critical) CVE-2026-44812 / CVE-2026-44803 — Windows Graphics Component Remote Code Execution (Critical) CVE-2026-44815 — DHCP Client Service Remote Code Execution (Critical) CVE-2026-42987 — Windows Deployment Services Remote Code Execution (Critical) CVE-2026-44810 — Microsoft Cryptographic Services Elevation of Privilege (Critical) CVE-2026-45657 — Windows Kernel Remote Code Execution (Critical) CVE-2026-48574 — Windows Media Remote Code Execution (Critical) CVE-2025-10263 — ARM kernel vulnerability (Critical) CVE-2026-26142 — Nuance PowerScribe Remote Code Execution (Critical) 🟠 Composants les plus impactés Microsoft Office : ~15 CVE dont plusieurs RCE critiques (Outlook, Word, Excel, SharePoint) Remote Desktop Client : 11 CVE dont 7 critiques RCE Windows DWM Core Library : 11 CVE (EoP, Info Disclosure) Microsoft SharePoint : ~20 CVE (Spoofing, RCE) Windows Ancillary Function Driver for WinSock : 7 CVE EoP Windows Secure Boot : 8 CVE Security Feature Bypass Windows Push Notifications : 8 CVE (EoP, Info Disclosure) Azure Stack Edge : 2 CVE (RCE, Spoofing) Visual Studio Code : 6 CVE (EoP, Info Disclosure, Tampering, SFB) Exchange Server : 7 CVE (Spoofing, Info Disclosure, EoP, RCE) 📋 Types de vulnérabilités Remote Code Execution (RCE) : majoritaire, nombreuses failles critiques Elevation of Privilege (EoP) : très répandu sur les composants Windows Security Feature Bypass : BitLocker, Secure Boot, UEFI, MOTW Spoofing : Exchange, SharePoint, Bing, NTLM Information Disclosure : Office, RDP, Push Notifications Denial of Service : HTTP.sys, ASP.NET Core, Kerberos 📌 Type d’article : Patch de sécurité — bulletin mensuel Microsoft. But principal : documenter l’ensemble des correctifs publiés lors du Patch Tuesday de juin 2026 pour permettre aux équipes de sécurité de prioriser les mises à jour. ...

🗓️ Contexte Source : BleepingComputer, publié le 10 juin 2026. L’article rapporte des attaques en cours ciblant des serveurs Oracle PeopleSoft (cloud et on-premises), revendiquées par le groupe d’extorsion ShinyHunters. 🎯 Nature de l’attaque ShinyHunters affirme avoir compromis 300 instances réparties sur plus de 100 organisations, en utilisant une “gadget chain” combinant des vulnérabilités connues et des zero-days. Le groupe précise que l’exploitation n’est pas systématique et dépend de la configuration des instances ciblées. ...

🔍 Contexte Rapport publié le 11 juin 2026 par Mandiant et le Google Threat Intelligence Group (GTIG), documentant une campagne active d’exploitation et d’extorsion attribuée à UNC6240 (ShinyHunters) ciblant des infrastructures Oracle PeopleSoft. 🎯 Campagne et ciblage L’activité a été observée entre le 27 mai 2026 et le 9 juin 2026. Plus de 100 organisations mondiales ont été notifiées, dont 68% appartiennent au secteur de l’enseignement supérieur (universités et collèges), principalement basées aux États-Unis. Les données volées ont été publiées sur le Data Leak Site (DLS) de ShinyHunters le 9 juin 2026. ...

📰 Source : SecurityAffairs, publié le 4 juin 2026. Le chercheur en sécurité Ammar Askar a découvert une vulnérabilité zero-day sérieuse dans github.dev, la version navigateur de Visual Studio Code, et a publié un exploit fonctionnel (PoC) une heure après en avoir informé un contact chez GitHub, sans ouvrir de ticket MSRC ni respecter de fenêtre de 90 jours. 🔍 Nature de la vulnérabilité : Lorsque github.com transmet un token OAuth à github.dev, ce token n’est pas limité au dépôt concerné. Il dispose d’un accès complet à tous les dépôts publics et privés accessibles par l’utilisateur. Un attaquant capable de modifier le fichier .vscode/extensions.json d’un dépôt peut y recommander une extension VS Code malveillante. ...

🔬 Contexte et source Article académique publié sur arXiv (soumis le 23 mai 2026) par des chercheurs de Bynario, Vanta et University College London. Il s’appuie sur les données publiques des campagnes Anthropic Mythos Preview et Mozilla Firefox pour analyser les implications économiques des LLM dans la découverte de vulnérabilités. 📐 Concept central : le « bugonomics » Les auteurs introduisent le terme bugonomics comme cadre d’analyse des coûts et incitations liés à la production d’artefacts de sécurité. Ils distinguent explicitement plusieurs catégories économiquement distinctes : ...

🗞️ Contexte Article publié le 29 mai 2026 par TechCrunch (Lorenzo Franceschi-Bicchierai). Il couvre un conflit public entre Microsoft et un chercheur en sécurité indépendant opérant sous le pseudonyme “Nightmare Eclipse”, autour de la divulgation de plusieurs vulnérabilités non corrigées. 🔍 Faits rapportés Le chercheur Nightmare Eclipse a publié publiquement plusieurs vulnérabilités affectant des produits Microsoft, accompagnées de code d’exploitation (proof-of-concept) : BlueHammer RedSun UnDefend YellowKey Ces failles affectent notamment : Windows Defender (moteur antivirus intégré) BitLocker (outil de chiffrement de disque) Les vulnérabilités ont été publiées sur GitHub et GitLab, les deux comptes du chercheur ayant ensuite été bannis. Selon Microsoft et la CISA, certaines de ces vulnérabilités ont depuis été exploitées dans des attaques réelles. ...

🗓️ Contexte Source : BleepingComputer, publié le 21 mai 2026. La chercheuse en sécurité Lyra Rebane a découvert en 2022 une vulnérabilité dans Chromium permettant à du JavaScript de continuer à s’exécuter après la fermeture du navigateur via un Service Worker malveillant. La faille a été signalée et reconnue valide par Google en décembre 2022. 🔍 Nature de la vulnérabilité La faille repose sur la création d’une page web malveillante avec un Service Worker (ex : une tâche de téléchargement) qui ne se termine jamais. Cela permet à un attaquant d’exécuter du code JavaScript à distance sur l’appareil de tout visiteur, sans interaction utilisateur. ...

🗓️ Contexte Article publié le 27 mai 2026 sur Tom’s Hardware, relatant un conflit public entre le chercheur en sécurité Nightmare-Eclipse (alias Chaotic Eclipse) et Microsoft/MSRC, ayant conduit à la publication de plusieurs zero-days Windows sans coordination de divulgation responsable. ⚔️ Conflit chercheur / éditeur Le différend a débuté début avril avec la publication sans préavis du zero-day BlueHammer. Eclipse affirme que Microsoft a refusé toute communication, supprimé son compte Microsoft utilisé pour les rapports de bugs, puis banni son compte GitHub. Il allègue également ne pas avoir reçu de paiement du programme MSRC Bug Bounty (qui prévoit des récompenses de 30 000 $ à 250 000 $ selon la criticité). Eclipse a migré vers GitLab suite au bannissement. ...

🔍 Contexte Fin 2025, Mandiant (Google Threat Intelligence Group) a répondu à un incident de sécurité impliquant un serveur web compromis exécutant KnowledgeDeliver, un système de gestion de l’apprentissage (LMS) développé par Digital Knowledge, largement utilisé au Japon. L’analyse a été publiée le 25 mai 2026. 🎯 Vulnérabilité exploitée La vulnérabilité, désormais suivie sous CVE-2026-5426, résulte de l’utilisation de valeurs machineKey ASP.NET identiques et codées en dur dans le fichier web.config fourni par le vendeur, partagées entre tous les déploiements clients. Cette configuration standardisée permettait à un acteur malveillant ayant obtenu les clés d’un déploiement de compromettre n’importe quelle instance KnowledgeDeliver exposée sur Internet. ...