Archives par mot-clé : zero-day

cyberattaque, Cybersécurité, Entreprise, Firewall, Logiciels

Palo Alto corrige en urgence un zero-day PAN-OS

Une faille critique non corrigée expose des pare-feu Palo Alto à une prise de contrôle distante, avec accès root et exploitation déjà observée.

Palo Alto Networks alerte ses clients sur CVE-2026-0300, une vulnérabilité critique de PAN-OS exploitée contre des pare-feu exposés à Internet. Cette faille de type buffer overflow touche le portail d’authentification User-ID, aussi appelé Captive Portal, sur les gammes PA-Series et VM-Series. Un attaquant non authentifié peut envoyer des paquets spécialement conçus, sans identifiants ni interaction utilisateur, afin d’exécuter du code arbitraire avec les privilèges root. Aucun correctif n’est encore disponible. Les premiers hotfixes sont annoncés autour du 13 mai 2026, puis une seconde vague vers le 28 mai. Les contournements deviennent donc prioritaires.

Une porte d’entrée critique sur le périmètre réseau

Dans une infrastructure d’entreprise, le pare-feu marque souvent la frontière entre le réseau interne, les partenaires et Internet. C’est précisément ce rôle stratégique qui rend CVE-2026-0300 aussi sensible. La vulnérabilité se situe dans le service User-ID Authentication Portal de PAN-OS. Ce composant intervient lorsque le pare-feu ne parvient pas à associer automatiquement une adresse IP à une identité utilisateur. Il présente alors un portail d’authentification, destiné à collecter des identifiants.

Le problème repose sur une écriture hors limites en mémoire, classée CWE-787. En pratique, la logique de traitement des paquets accepte une séquence réseau spécialement forgée, capable de déclencher un débordement de tampon. Comme le chemin d’exécution vulnérable intervient avant toute authentification, l’attaquant n’a pas besoin de compte, de mot de passe, d’accès préalable ou d’action de la victime.

Le scénario d’attaque est donc direct. Un système exposé reçoit le paquet malveillant. La mémoire est corrompue. Le flux d’exécution peut être détourné. Le code choisi par l’attaquant s’exécute ensuite sur la plateforme PAN-OS. L’élément le plus préoccupant tient au niveau de privilèges : le service fonctionne avec les droits root. Une exploitation réussie donne donc un contrôle total sur le pare-feu.

Palo Alto Networks indique que l’exploitation est automatisable. L’entreprise confirme aussi des attaques limitées contre des portails d’authentification accessibles depuis des adresses IP non fiables ou directement depuis Internet. Le score CVSS atteint 9,3 lorsque le portail est exposé à un réseau non maîtrisé. Il descend à 8,7 lorsque l’accès est limité à des adresses internes de confiance, conformément aux bonnes pratiques de l’éditeur.

La surface d’exposition reste importante. Shadowserver suit plus de 5 800 pare-feu PAN-OS VM-Series visibles en ligne. La majorité se trouve en Asie, avec 2 466 systèmes recensés, puis en Amérique du Nord, avec 1 998 équipements. Ces chiffres ne prouvent pas que tous les systèmes soient exploitables, car la vulnérabilité dépend de l’activation du portail concerné. Ils donnent toutefois une mesure du risque sur des équipements de bordure.

Les produits touchés sont les pare-feu PA-Series et VM-Series. Prisma Access, Cloud NGFW et Panorama ne sont pas affectés, selon les informations fournies. Les versions vulnérables couvrent plusieurs branches de PAN-OS : 12.1, 11.2, 11.1 et 10.2, dès lors que le portail User-ID Authentication Portal est activé. La configuration se vérifie dans Device, User Identification, Authentication Portal Settings, Enable Authentication Portal.

Identifiez vos angles morts informatiques avant que les pirates ne le fassent !

Un zero-day sans patch, avec contournements immédiats

Le caractère zero-day de CVE-2026-0300 place les équipes de sécurité dans une fenêtre de risque contrainte. Aucun correctif n’est disponible au moment de l’alerte. Palo Alto Networks prévoit une première série de hotfixes autour du 13 mai 2026, puis une seconde vers le 28 mai. Jusqu’à leur publication, la réduction de surface d’attaque constitue la mesure centrale.

La première action consiste à restreindre immédiatement l’accès au portail d’authentification. Les règles de filtrage doivent limiter le service User-ID Authentication Portal aux seules adresses IP et zones internes jugées fiables. Un portail exposé à Internet, ou à un réseau non approuvé, crée une cible directe pour une attaque distante sans authentification.

La deuxième mesure consiste à désactiver le portail lorsqu’il n’est pas nécessaire. Les organisations qui n’utilisent pas activement cette fonction peuvent la couper depuis Device, User Identification, Authentication Portal Settings, Disable Authentication Portal. Cette décision réduit le risque à la source, car le composant vulnérable n’est alors plus accessible.

Pour les environnements sous PAN-OS 11.1 et versions supérieures, Palo Alto Networks a publié une signature Threat Prevention d’urgence. Elle vise à bloquer les schémas d’exploitation connus, sous réserve d’un abonnement actif. Cette protection ne remplace pas un correctif, car les signatures peuvent être contournées ou rester incomplètes face à des variantes. Elle ajoute cependant une couche utile pendant la période d’attente.

La surveillance doit aussi être renforcée. Les journaux du pare-feu doivent être examinés pour repérer des accès inhabituels au portail d’authentification, des exécutions de processus inattendues ou des communications vers des infrastructures externes inconnues. Un pare-feu compromis avec droits root représente bien plus qu’un équipement isolé. Il peut offrir une visibilité sur les flux, faciliter la reconnaissance interne et ouvrir des chemins de mouvement latéral.

Cette vulnérabilité correspond au profil recherché par des groupes persistants avancés et des opérateurs de rançongiciels : un équipement de bordure, une exécution de code avant authentification et un accès complet aux flux réseau. Tenable attribue à CVE-2026-0300 un score de base de 10,0, soit le maximum possible. Le catalogue CISA Known Exploited Vulnerabilities répertorie déjà 13 vulnérabilités touchant des produits Palo Alto, même si CVE-2026-0300 n’y figure pas encore dans les informations fournies.

L’équation défensive est claire : réduire l’exposition avant la publication des hotfixes, appliquer les signatures disponibles, puis installer les correctifs dès leur diffusion.

Apple, Cybersécurité, Logiciels, Mise à jour, OS X, Patch, Securite informatique

Apple colmate 77 failles dans macOS et 27 dans iOS

Apple publie ses nouveaux systèmes iOS, iPadOS et macOS, corrigeant plus de cent vulnérabilités. Mais l’entreprise reste discrète sur leur gravité et sur tout signe d’exploitation active.

Apple vient de déployer iOS 26, iPadOS 26 et macOS 26, corrigeant 27 failles sur mobiles et 77 sur ordinateurs. Les correctifs couvrent aussi Safari, watchOS, visionOS et Xcode. Contrairement à son intervention d’août face à une attaque sophistiquée, Apple n’évoque cette fois aucun cas d’exploitation en cours. Des failles critiques, notamment dans PackageKit et StorageKit, pourraient pourtant permettre l’obtention de privilèges root sur macOS. L’entreprise reste fidèle à sa ligne de communication minimaliste, sans détail de sévérité. En parallèle, les appareils plus anciens restent bloqués sur iOS 18.7 ou macOS 15.7, recevant uniquement des correctifs de sécurité majeurs.

Nouveaux correctifs, anciennes inquiétudes

Apple a diffusé lundi ses nouveaux systèmes d’exploitation numérotés selon l’année de sortie, une nouveauté présentée comme une simplification. iOS 26 et iPadOS 26 corrigent 27 vulnérabilités, tandis que macOS 26 en traite 77. Certaines failles touchaient l’ensemble des plateformes, confirmant la proximité croissante entre les architectures mobiles et ordinateurs.

La nouvelle interface dite « liquid glass » attire l’attention côté design, mais l’enjeu principal demeure la cybersécurité. Les utilisateurs d’appareils lancés avant 2019, non compatibles avec ces versions, doivent se tourner vers iOS 18.7, iPadOS 18.7 ou macOS 15.7, mises à jour de maintenance centrées sur les vulnérabilités critiques.

Un contraste avec les correctifs d’urgence

Le mois dernier, Apple avait dû réagir en urgence face à une attaque qualifiée d’« extrêmement sophistiquée », exploitant la faille CVE-2025-43300 contre des cibles précises. Depuis janvier, cinq vulnérabilités zero-day activement exploitées ont été corrigées, preuve de l’intérêt constant des attaquants pour l’écosystème Apple. Sept de ces failles ont même été intégrées au catalogue des vulnérabilités exploitées tenu par la CISA, soulignant leur criticité pour les infrastructures sensibles.
Cette fois, aucun signe d’attaque en cours n’a été rapporté.

L’absence d’indicateur de sévérité dans les bulletins Apple est classique pour la Grosse Pomme. Contrairement à d’autres éditeurs, la firme se contente d’énumérer les failles, sans notation selon le CVSS, limitant la visibilité des responsables sécurité.

Failles critiques sur macOS

Deux vulnérabilités corrigées dans macOS attirent particulièrement l’attention des chercheurs : CVE-2025-43298 (PackageKit) et CVE-2025-43304 (StorageKit). Leur exploitation pourrait offrir à un attaquant un accès root, ouvrant la voie à une compromission totale du système.

Côté iOS, le volume de corrections reste notable, mais aucune faille n’inspire de crainte immédiate, selon Childs. Le contraste est frappant : si le risque d’exploitation n’est pas confirmé, la surface d’attaque reste considérable. En complément, Apple a publié sept correctifs pour Safari 26, 19 pour watchOS 26, 18 pour visionOS 26 et cinq pour Xcode 26, preuve de l’ampleur des vulnérabilités touchant tout l’écosystème.

Avec plus de cent vulnérabilités corrigées mais sans alerte d’exploitation active, Apple continue de pratiquer une communication minimaliste. La question reste entière : comment évaluer la criticité des failles Apple en l’absence de notation officielle ?

Cybersécurité, Mise à jour, Patch

Septembre : Zero Day en amont, Patch Tuesday plus calme

Deux Zero Day Android, une faille WhatsApp et une vulnérabilité WinRAR ont marqué septembre. Le Patch Tuesday s’annonce plus sobre, mais Windows et Adobe restent des priorités.

Le mois de septembre a été rythmé par plusieurs vulnérabilités Zero Day découvertes avant le Patch Tuesday : deux failles critiques dans Android, une brèche dans WhatsApp et une autre dans WinRAR. Microsoft publie ensuite 81 correctifs, dont huit jugés critiques et deux déjà divulgués publiquement. Adobe diffuse en parallèle neuf mises à jour couvrant 22 CVE, dont certaines touchant Acrobat Reader, ColdFusion et Premiere Pro. Malgré un Patch Tuesday relativement calme, la pression reste forte : l’exploitation active des Zero Day, conjuguée à une attaque de la chaîne d’approvisionnement via Drift AI et Salesforce, rappelle l’ampleur de la surface de menace.

Zéro Day avant le Patch Tuesday

Les jours précédant le Patch Tuesday de septembre ont été agités. Deux vulnérabilités critiques dans Android (CVE-2025-38352 et CVE-2025-48543) ont été exploitées activement. Elles s’ajoutent à une faille Zero Day dans WhatsApp (CVE-2025-55177) et à une vulnérabilité similaire dans WinRAR (CVE-2025-8088). Ces quatre incidents suffisent à reconfigurer l’agenda des équipes de sécurité. Parallèlement, une attaque visant la chaîne d’approvisionnement a touché l’agent conversationnel Drift AI, exposant des données de clients Salesforce. L’ensemble illustre la multiplication des vecteurs d’attaque, allant des applications mobiles aux logiciels tiers en passant par les intégrations cloud.

Microsoft a corrigé 81 nouvelles vulnérabilités ce mois-ci, dont huit classées critiques. Parmi elles figurent cinq exécutions de code à distance, deux élévations de privilèges et une divulgation d’informations, toutes affectant Windows ou Office. Deux vulnérabilités avaient déjà été rendues publiques. La première, CVE-2025-55234, concerne le protocole SMB de Windows. Elle offre une élévation de privilèges et affiche un score CVSS de 8,8. Microsoft la classe comme importante, avec un niveau de maturité de code non prouvé. La seconde, CVE-2024-21907, est liée à Newtonsoft.Json et touche SQL Server 2016 à 2019. Elle permet un déni de service à distance, selon l’usage de la bibliothèque. Là encore, l’évaluation du risque recommande de la traiter comme importante. Ces deux divulgations montrent que les failles connues circulent rapidement, augmentant le risque d’exploitation opportuniste.

Mises à jour Adobe et priorités de septembre

Adobe a publié neuf mises à jour couvrant 22 CVE, dont 12 critiques. Les produits concernés incluent Acrobat Reader, Premiere Pro, After Effects, Commerce, ColdFusion, Experience Manager, Dreamweaver et deux outils de modélisation 3D. Adobe attribue une priorité 1 à ColdFusion et une priorité 2 à Commerce. Les autres mises à jour sont classées en priorité 3, donc moins urgentes. La hiérarchisation proposée par Adobe renvoie à l’usage intensif de certaines plateformes en production. Pour ce mois de septembre, les équipes de sécurité doivent donc d’abord traiter les Zero Day détectées avant le Patch Tuesday. Ensuite, elles peuvent planifier les mises à jour Microsoft et Adobe dans le cadre des opérations de maintenance mensuelles. L’absence de nouvelles Zero Day dans le Patch Tuesday allège la charge immédiate, mais l’intensité des incidents précédents rappelle que la vigilance ne peut pas se relâcher.

La séquence de septembre montre un contraste entre l’intensité des Zero Day découvertes avant le Patch Tuesday et la relative stabilité des correctifs officiels. Une question demeure : les équipes de sécurité peuvent-elles maintenir une priorisation efficace face à la convergence des menaces mobiles, logicielles et cloud ?

backdoor, Cybersécurité, Entreprise, Mise à jour, Patch, Securite informatique

RomCom exploite une faille WinRAR zero‑day CVE‑2025‑8088

Une faille critique dans WinRAR exploitée par RomCom menace entreprises et administrations. Espionnage ciblé, spearphishing redoutable : l’Europe et le Canada sont directement dans le viseur.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Une vulnérabilité critique (CVE‑2025‑8088) dans WinRAR, exploitée par le groupe cyberespion RomCom aligné sur la Russie, a été découverte par ESET Research. Active entre le 18 et le 21 juillet 2025, cette campagne visait des secteurs stratégiques en Europe et au Canada : finance, défense, logistique, industrie. Disséminées via spear phishing, les archives piégées permettaient l’exécution de backdoors comme SnipBot, RustyClaw ou Mythic. Cette attaque sophistiquée marque une nouvelle escalade dans la guerre cyber et politique menée par des groupes APT russophones. WinRAR a corrigé la faille dès le 30 juillet 2025 via une mise à jour manuelle obligatoire vers la version 7.13. Le retard de correctif expose encore de nombreuses victimes potentielles.

Une faille invisible, une intrusion discrète

Le 18 juillet 2025, les analystes d’ESET détectent un comportement anormal dans une archive RAR transmise à une entreprise européenne de défense. Une DLL nommée msedge.dll, dissimulée dans un chemin d’extraction détourné, attire immédiatement leur attention. L’analyse révèle l’exploitation d’une faille jusqu’alors inconnue, touchant toutes les versions de WinRAR jusqu’à la 7.12 incluse.

Dénommée CVE‑2025‑8088, cette vulnérabilité exploite un mécanisme sournois : la traversée de chemin via les flux de données alternatifs NTFS. Résultat ? Un simple fichier extrait peut être redirigé vers des répertoires critiques du système, comme le dossier de démarrage de Windows. À la prochaine session, le code malveillant s’exécute sans déclencher d’alerte.

Le 24 juillet, ESET contacte le développeur de WinRAR. La réponse est immédiate : un correctif est intégré dans une version bêta, puis publié officiellement le 30 juillet dans la version 7.13. Mais attention : WinRAR ne propose aucune mise à jour automatique. Des millions d’utilisateurs pourraient donc encore être exposés sans le savoir.

Spearphishing ciblé et backdoors sur mesure

Entre le 18 et le 21 juillet 2025, RomCom lance une offensive de spearphishing contre plusieurs entreprises situées en Europe et au Canada. Les cibles sont choisies avec soin : finance, logistique, industrie manufacturière et défense. Les e-mails se présentent sous forme de candidatures professionnelles, CV à l’appui. Une fois l’archive RAR ouverte, la vulnérabilité est déclenchée.

Dans les cas observés par ESET, les charges utiles déployées sont variées mais convergent toutes vers un objectif d’espionnage. On retrouve la backdoor SnipBot, une version personnalisée de RustyClaw, et un agent Mythic configuré sur mesure. Ces implants sont conçus pour maintenir l’accès, exfiltrer des données et injecter des modules additionnels à distance.

RomCom — également connu sous les noms de Storm‑0978, Tropical Scorpius ou UNC2596 — est formellement attribué à cette campagne. ESET justifie cette attribution par une concordance complète des outils, méthodes et infrastructures déjà associées au groupe lors de précédentes attaques. RomCom est réputé pour ses opérations mêlant cybercriminalité classique et espionnage au service d’objectifs géopolitiques russes.

Un contexte géopolitique sous tension

La campagne RomCom s’inscrit dans une dynamique inquiétante. Depuis 2023, ce groupe cible les institutions occidentales sensibles, avec un pic d’activité lors de moments de tension internationale. En juin 2023, RomCom s’en était déjà pris à des entités européennes via des leurres liés au Congrès mondial ukrainien. Le choix des cibles 2025 — défense, finance, logistique — suggère une volonté claire d’interférer dans les structures stratégiques.

La faille CVE‑2025‑8088 a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA américaine le 12 août 2025. Cela implique une obligation pour les agences fédérales de déployer un correctif immédiat sous peine de non-conformité aux directives de cybersécurité (BOD 22-01). Le score CVSS attribué à cette vulnérabilité est de 8,4, signe de sa criticité élevée.

Le plus alarmant reste la simultanéité d’exploitation par un second groupe : Paper Werewolf, alias GOFFEE, qui s’est approprié la même faille peu après. Cette double exploitation suggère une probable fuite ou vente privée de l’exploit, accentuant le danger de réutilisation dans des campagnes futures.

Dans cette nouvelle ère de guerre hybride, où les lignes entre cybercriminalité et renseignement s’effacent, la vulnérabilité WinRAR symbolise une faille bien plus large : celle d’un cyberespace vulnérable, traversé par des ambitions politiques masquées sous des lignes de code.

backdoor, cyberattaque

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

Cybersécurité, Entreprise

Patch Tuesday de février 2025 : Les mises à jour critiques à ne pas manquer

Microsoft et Adobe renforcent la sécurité avec des correctifs majeurs en février 2025 dont plusieurs zero day.

Le Patch Tuesday de février 2025 apporte des mises à jour importantes pour Microsoft et Adobe, avec un total de 56 CVE corrigées pour Microsoft et 45 pour Adobe. Parmi elles, plusieurs vulnérabilités critiques et des Zero Day exploitées activement. Windows reste la priorité absolue ce mois-ci.

Ce mois-ci, Microsoft ralentit son rythme après la grosse mise à jour de janvier, mais continue de résoudre des vulnérabilités majeures, y compris deux Zero Day et une révision critique de Secure Boot. Adobe, quant à lui, cible principalement Adobe Commerce, corrigeant 30 CVE sur les 45 publiées. La mise à jour de Google Chrome est attendue sous peu, ce qui renforcera la sécurité des navigateurs basés sur Chromium, dont Microsoft Edge.

Vulnérabilités Microsoft exploitées

CVE-2025-21418 – Élévation de privilèges via AFD Windows

Microsoft corrige une vulnérabilité critique dans le pilote de fonction auxiliaire (AFD) Windows pour WinSock. Cette faille, exploitée activement, permet d’obtenir des privilèges SYSTEM, ce qui en fait une priorité pour toutes les versions de Windows, de Windows 10 à Server 2025. Son score CVSS est de 7,8.

CVE-2025-21391 – Élévation de privilèges via stockage Windows

Cette vulnérabilité concerne le stockage Windows et affecte également toutes les versions de Windows 10 à Server 2025. Son exploitation permet de gagner des privilèges élevés, ce qui justifie son traitement prioritaire. Score CVSS : 7,1.

CVE-2023-24932 – Secure Boot : une mise à jour essentielle

Une révision du correctif Secure Boot a été publiée, élargissant la couverture à Windows 11 24H2 et Server 2025. Cette faille, exploitée et publiquement divulguée, nécessite une mise à jour immédiate pour garantir une protection optimale.

Vulnérabilités Microsoft divulguées publiquement

CVE-2025-21377 – Usurpation d’identité via hachage NTLM

Cette faille de type Spoofing permet l’exposition de hachages NTLM, affectant toutes les versions de Windows. Bien que classée « Important » avec un score CVSS de 6,5, elle est publiquement divulguée, augmentant le risque d’exploitation.

CVE-2025-21194 – Contournement des fonctions de sécurité sur Microsoft Surface

Cette faille affecte les systèmes Surface et leur kit de développement. Bien que sa maturité d’exploitation ne soit pas encore prouvée, elle reste une menace potentielle à surveiller. Score CVSS : 7,1.

Vulnérabilités tierces : focus sur Adobe et Google Chrome

Adobe publie des mises à jour pour plusieurs de ses produits phares, dont InDesign, Commerce, Substance 3D, InCopy et Illustrator. La mise à jour d’Adobe Commerce, classée Priorité 1, corrige 30 des 45 CVE, ce qui la rend critique pour les entreprises utilisant cette plateforme.

Google Chrome publiera sa mise à jour de sécurité d’ici peu, impactant aussi Microsoft Edge et d’autres navigateurs basés sur Chromium. Étant donné la fréquence hebdomadaire des correctifs Chrome depuis août 2023, il est vivement conseillé de mettre à jour ses navigateurs chaque semaine.

Priorités de mise à jour pour février

  1. Microsoft Windows : Priorité absolue avec 3 CVE exploitées activement, 2 vulnérabilités publiquement divulguées et plusieurs correctifs critiques.
  2. Adobe Commerce : 30 CVE corrigées, une mise à jour classée Priorité 1.
  3. Navigateurs web : Les mises à jour hebdomadaires de Chrome, Edge et Firefox sont essentielles pour réduire le risque d’exploitation.
Mise à jour, Patch

Une faille critique dans 7-Zip expose les utilisateurs à des logiciels malveillants

Une vulnérabilité critique a été découverte dans le célèbre archiveur 7-Zip, permettant à des attaquants d’installer des logiciels malveillants tout en contournant le mécanisme de sécurité Mark of the Web (MoTW) de Windows.

Des chercheurs du Zero Day Initiative ont identifié une faille (CVE-2025-0411) dans 7-Zip, un outil largement utilisé pour compresser et extraire des fichiers. Cette vulnérabilité a reçu un score de 7 sur l’échelle CVSS, la classant comme modérément critique. Découverte mi-2022, cette faille exploite une faiblesse dans la gestion des archives, exposant ainsi les utilisateurs à des risques importants.

Le mécanisme MoTW, introduit par Windows, est conçu pour avertir les utilisateurs lorsqu’ils ouvrent des fichiers téléchargés depuis des sources non fiables. Cependant, dans les versions vulnérables de 7-Zip, ce système peut être contourné. Les fichiers extraits d’archives malveillantes ne portent pas la marque du Web, privant ainsi l’utilisateur d’un avertissement crucial.

Comment fonctionne cette faille ?

La faille repose sur la manipulation des archives. Lorsqu’un utilisateur extrait des fichiers depuis une archive spécialement conçue, 7-Zip ne leur applique pas la marque de sécurité MoTW. Cela signifie qu’un fichier potentiellement dangereux peut être exécuté sans que l’utilisateur ne reçoive d’alerte de sécurité.

Selon Trend Micro, cette faille peut être exploitée pour exécuter du code malveillant dans le contexte de l’utilisateur actuel. En d’autres termes, un attaquant peut utiliser cette vulnérabilité pour déployer des logiciels malveillants sur l’ordinateur de la victime.

Les mesures prises par 7-Zip pour corriger la vulnérabilité

Face à cette faille, les développeurs de 7-Zip ont rapidement réagi. Une nouvelle version de l’archiveur, numérotée 24.09, a été publiée. Cette mise à jour inclut un correctif pour le CVE-2025-0411, rétablissant la sécurité des utilisateurs.

Les utilisateurs qui n’ont pas encore installé la dernière version de 7-Zip restent vulnérables. Ignorer cette mise à jour expose les systèmes à des cyberattaques potentielles, en particulier si des fichiers sont téléchargés depuis des sources non vérifiées.

Le correctif a renforcé la gestion des fichiers extraits. Désormais, 7-Zip applique correctement le marquage MoTW, garantissant ainsi une protection accrue. Il est conseillé de télécharger la version 24.09 directement depuis le site officiel de 7-Zip pour éviter les versions compromises.

Cette vulnérabilité souligne une fois de plus l’importance de maintenir ses logiciels à jour. Elle illustre également comment des failles dans des outils couramment utilisés peuvent avoir des répercussions importantes sur la sécurité des utilisateurs.

Cybersécurité, Mise à jour, Patch

Vulnérabilité zero-day impactant un outil VPN pour entreprise

Mandiant a publié aujourd’hui des détails approfondis sur une vulnérabilité zero-day critique, référencée CVE-2025-0282, récemment divulguée et corrigée par Ivanti. Cette faille affecte les appliances Ivanti Connect Secure VPN (ICS), largement utilisées pour assurer la connectivité sécurisée des entreprises.

Ivanti a détecté cette compromission grâce à son outil dédié, Integrity Checker Tool (ICT), ainsi qu’à des outils tiers de surveillance de sécurité. Selon l’analyse de Mandiant, cette vulnérabilité a été exploitée activement dans la nature dès décembre 2024, vraisemblablement par un acteur de l’espionnage lié à la Chine.

Une exploitation avancée et ciblée

Mandiant rapporte que la CVE-2025-0282 [alerte du CERT SSI France] a été utilisée par des cybercriminels. Bien qu’il ne soit pas encore possible de confirmer l’identité exacte des attaquants, les chercheurs pensent avec une confiance modérée qu’ils appartiennent au groupe connu de bad hacker sous le nom UNC5221, un acteur déjà associé à des campagnes d’espionnage numérique.

Le malware SPAWN, précédemment lié à UNC5337, a été observé dans cette nouvelle attaque. En complément, d’autres familles de malwares comme DRYHOOK et PHASEJAM ont été identifiées. Cependant, les chercheurs précisent qu’ils ne disposent pas encore de données suffisantes pour attribuer ces attaques à un ou plusieurs acteurs spécifiques.

Impacts de la vulnérabilité CVE-2025-0282

L’exploitation de cette faille permet aux attaquants de réaliser des actions critiques :

Exécution de code à distance
Les cybercriminels peuvent prendre le contrôle des systèmes affectés, compromettant ainsi l’intégrité des données et la sécurité des environnements réseau.

Déplacement latéral
Une fois la brèche initiale exploitée, les attaquants se déplacent latéralement dans les systèmes connectés pour élargir leur accès, créant des impacts potentiellement dévastateurs au-delà de l’appareil directement visé.

Installation de portes dérobées persistantes
Des backdoors sont implantées pour maintenir l’accès aux systèmes compromis. Certaines de ces portes peuvent persister même après des mises à jour, ce qui incite Ivanti à recommander une réinitialisation complète pour les clients concernés.

Tactiques avancées des attaquants
Mandiant a observé deux techniques sophistiquées utilisées par les attaquants exploitant la CVE-2025-0282 :

Déploiement de PHASEJAM

Après avoir exploité la faille, les cybercriminels déploient un malware personnalisé nommé PHASEJAM, conçu pour empêcher l’installation des mises à jour système, garantissant ainsi un accès prolongé au système compromis.

Fausse barre de progression de mise à jour
Pour éviter de susciter la méfiance des administrateurs, une fausse barre de progression de mise à jour est affichée, simulant le bon déroulement des mises à jour alors qu’en réalité, le processus est bloqué par l’attaquant.

Mesures de détection et prévention
Les versions récentes d’Ivanti Connect Secure intègrent un outil performant, l’Integrity Checker Tool (ICT), qui s’est avéré efficace pour identifier les compromissions liées à la CVE-2025-0282. Cet outil exécute régulièrement des diagnostics pour détecter des anomalies ou des comportements inhabituels.

Cependant, Mandiant a signalé des tentatives des attaquants pour manipuler le registre des fichiers vérifiés par l’ICT, y intégrant leurs propres fichiers malveillants pour contourner les mécanismes de détection.

Cette vulnérabilité zero-day met en lumière les défis constants auxquels les entreprises sont confrontées en matière de sécurité numérique. Ivanti et Mandiant recommandent aux utilisateurs de déployer les mises à jour correctives immédiatement, de surveiller leurs systèmes pour détecter des anomalies, et de réinitialiser si nécessaire.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

backdoor, Cybersécurité, Logiciels, Microsoft, Mise à jour, Patch

Découverte d’un 0Day dans Silverlight

Un commentaire

Kaspersky Lab a découvert une vulnérabilité « Zero Day » dans Silverlight, une technologie web servant à visualiser des contenus multimédias. Cette faille offrirait à un pirate un accès total à un ordinateur infecté, lui permettant ainsi d’exécuter du code malveillant afin de dérober des informations confidentielles et de se livrer à d’autres activités illicites. La vulnérabilité (CVE-2016-0034) a été corrigée dans la dernière mise à jour de sécurité publiée par Microsoft ce mardi 12 janvier 2016. Sa découverte est le fruit de cinq mois d’enquête ayant fait suite à un article paru dans Ars Technica.

A l’été 2015, une cyberattaque lancée contre la société Hacking Team (connue pour le développement de « spyware légal ») a fait les gros titres. L’un des articles à ce sujet, publié dans Ars Technica, mentionnait une fuite dans des échanges supposés entre des représentants de Hacking Team et Vitaliy Toropov, un développeur indépendant de programmes exploitant des vulnérabilités. Entre autres choses, l’article citait une correspondance dans laquelle Toropov tentait de vendre à Hacking Team une faille Zero Day particulièrement intéressante : il s’agissait d’exploiter une vulnérabilité présente depuis quatre ans et toujours non corrigée dans la technologie Microsoft Silverlight. C’est cette information qui a mis la puce à l’oreille des chercheurs de Kaspersky Lab.

L’article en question ne fournissant aucune autre information sur la faille exploitée, les chercheurs ont entamé leur enquête en partant du nom du vendeur. Ils ont rapidement découvert qu’un utilisateur qui se nommait Vitaliy Toropov était un contributeur très actif de la base de données open source des vulnérabilités (OSVDB), où tout un chacun peut publier des informations dans ce domaine. En analysant son profil public sur le site OSVBD.org, les chercheurs de Kaspersky Lab se sont aperçu qu’en 2013, Toropov avait publié une preuve de concept (POC) décrivant un bogue dans la technologie Silverlight. Ce POC portait sur une ancienne vulnérabilité connue et aujourd’hui corrigée. Cependant, il donnait également des détails supplémentaires qui ont indiqué aux chercheurs de Kaspersky Lab comment l’auteur écrivait du code destiné à exploiter cette faille.

Au cours de l’analyse effectuée par les experts de Kaspersky Lab, certaines chaînes de code spécifiques se démarquaient véritablement. Grâce à ces informations, ils ont créé plusieurs règles de détection pour les technologies de protection de Kaspersky Lab : dès lors qu’un utilisateur, ayant accepté de communiquer des données sur les menaces à Kaspersky Security Network (KSN), rencontrait un logiciel malveillant qui présentait le comportement correspondant à ces règles de détection, le système marquait le fichier comme extrêmement suspect et adressait une notification à la société pour qu’il soit analysé. Cette tactique partait d’une hypothèse simple : si Toropov avait tenté de vendre l’exploitation d’une faille Zero Day à Hacking Team, il y avait de fortes chances pour qu’il ait fait de même auprès d’autres éditeurs de spyware. A la suite de cette activité, d’autres campagnes de cyber espionnage pouvaient s’en servir afin de cibler et d’infecter des victimes sans méfiance.

Cette hypothèse était fondée. Plusieurs mois après la mise en œuvre des règles spéciales de détection, un client de Kaspersky Lab a été la cible d’une attaque employant un fichier suspect présentant les caractéristiques recherchées. Quelques heures plus tard, quelqu’un (peut-être une victime des attaques) se trouvant au Laos a envoyé à un service multiscanner un fichier ayant les mêmes caractéristiques. Les experts de Kaspersky Lab, en analysant l’attaque, ont découvert que celle-ci exploitait en fait un bogue inconnu de la technologie Silverlight. Les informations concernant cette faille ont été communiquées sans délai à Microsoft pour validation.

« Bien que n’étant pas sûrs que la faille que nous avons découverte soit en fait celle évoquée dans l’article d’Ars Technica, nous avons de bonnes raisons de penser que c’est bien le cas. En comparant l’analyse de ce fichier aux travaux précédents de Vitaliy Toropov, nous sommes parvenus à la conclusion que l’auteur de l’exploitation de la vulnérabilité découverte récemment et l’auteur des POC publiés sur OSVDB sous le nom de Toropov était une seule et même personne. En même temps, il n’est pas impossible que nous ayons trouvé une autre faille Zero Day dans Silverlight. Globalement, ces recherches ont contribué à rendre le cyberespace un peu plus sûr en mettant au jour une nouvelle vulnérabilité Zero Day et en la révélant de manière responsable. Nous encourageons tous les utilisateurs des produits Microsoft à mettre à jour leurs systèmes dès que possible afin de corriger cette vulnérabilité », commente Costin Raiu, Directeur de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky Lab.

Les produits Kaspersky Lab détectent la vulnérabilité CVE-2016-0034 sous le nom de  HEUR :Exploit.MSIL.Agent.gen.

Antivirus, Chiffrement, cryptage, Cybersécurité, Logiciels, Mise à jour, Patch, Virus

Le processeur Qualcomm Snapdragon 820 équipé d’un anti malwares

Qualcomm Snapdragon Smart Protect équipera le prochain Snapdragon 820 de l’analyse comportementale afin de renforcer la sécurité et la détection de logiciels malveillants.

Qualcomm renforce son leadership technologique en matière de sécurité mobile avec l’introduction de Qualcomm Snapdragon™ Smart Protect. Le futur processeur Qualcomm Snapdragon 820 sera le premier équipé de Snapdragon Smart Protect, proposant le « machine learning » (apprentissage automatique) directement sur le terminal et en temps réel. Snapdragon Smart Protect va notamment permettre la détection précise et efficace de menaces émanant de malwares de type « zero-day » et améliorer ainsi la protection des données personnelles et la sécurité des terminaux. Snapdragon Smart Protect est également la première application à utiliser la technologie Qualcomm® Zeroth™ venant renforcer le champs d’action de solutions anti-malware conventionnelles, grâce à la détection de logiciels malveillants en temps réel, la classification et l’analyse des causes à un moteur d’analyse comportementale basé sur l’informatique cognitive.