RadioCSIRT - Edition Française cover art

RadioCSIRT - Edition Française

RadioCSIRT - Edition Française

Written by: Marc Frédéric GOMEZ
Listen for free

About this listen

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître.

🔎 Au programme :
✔️ Décryptage des cyberattaques et vulnérabilités critiques
✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité
✔️ Sources et références pour approfondir chaque sujet

💡 Pourquoi écouter RadioCSIRT ?
🚀 Restez à jour en quelques minutes par jour
🛡️ Anticipez les menaces avec des infos fiables et techniques
📢 Une veille indispensable pour les pros de l’IT et de la sécurité

🔗 Écoutez, partagez et sécurisez votre environnement !
📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Marc Frederic GOMEZ Politics & Government
Episodes
  • Ep.647 - RadioCSIRT Édition Française - Veille cybersécurité du samedi 16 mai 2026

    Ep.647 - RadioCSIRT Édition Française - Veille cybersécurité du samedi 16 mai 2026
    May 16 2026
    Le chercheur Chaotic Eclipse, alias Nightmare-Eclipse sur GitHub, publie le vendredi 15 mai 2026 une cinquième divulgation publique non coordonnée en six semaines. Baptisée MiniPlasma, la vulnérabilité cible le driver Windows Cloud Files Mini Filter, cldflt.sys, chargé par défaut sur l'ensemble des installations Windows depuis Windows 10 1809. Le PoC public sur GitHub revendique l'obtention d'un shell SYSTEM sur Windows 11 et Windows Server 2025 entièrement patchés. Aucune CVE n'a été attribuée à ce jour, aucun correctif n'est en cours de publication par le Microsoft Security Response Center.L'allégation centrale du chercheur est extraordinaire et requiert vérification : le patch de CVE-2020-17103, publié par Microsoft en décembre 2020 dans le cadre d'une série de quatre vulnérabilités découvertes par James Forshaw de Project Zero, ne serait, selon le message PGP signé, simplement pas présent sur les versions actuelles du driver. Trois hypothèses techniques sont actuellement sur la table sans qu'aucune ne soit définitivement écartée. Première hypothèse, la plus probable a priori, une variante du défaut d'origine non couverte par le patch initial, sur le modèle du bypass CVE-2025-55680 identifié par Exodus Intelligence sur le même driver. Deuxième hypothèse, une régression silencieuse du correctif au fil des refactorings successifs du driver. Troisième hypothèse intermédiaire, un correctif appliqué sur certaines branches du code mais non propagé après divergence vers Windows 11 et Windows Server 2025.L'historique récent de cldflt.sys soutient l'analyse. Quatre CVE majeures en 18 mois sur le même driver. CVE-2025-55680 patchée en octobre 2025, dérivée d'une race TOCTOU découverte dès mars 2024. CVE-2025-62221 patchée en décembre 2025 alors qu'elle était déjà exploitée in-the-wild, sans publication d'indicateurs de compromission détaillés. Et désormais MiniPlasma. Le composant est manifestement structurellement fragile et continue d'attirer les chercheurs.En l'absence de correctif éditeur, les équipes CERT et CSIRT disposent de plusieurs leviers de mitigation. Pour les serveurs sans usage cloud et les hôtes administrateurs, la désactivation conditionnelle du service CldFlt via la commande sc.exe config cldflt start= disabled supprime la surface d'attaque, sous réserve de validation fonctionnelle (impact sur OneDrive, SharePoint, certains workflows tiers). Pour les flottes utilisant intensivement OneDrive Files On-Demand, cette option n'est pas applicable. La détection EDR doit cibler les DeviceIoControl avec code 0x903BC vers le device \\.\HsmFlt\Hsm provenant de processus non privilégiés, et la création de DLL dans System32 ou SysWOW64 par des processus non SYSTEM. Le correctif officiel est à anticiper pour le Patch Tuesday de juin 2026, qui correspond également à la prochaine divulgation annoncée par Chaotic Eclipse.Sources :Chaotic Eclipse, blog deadeclipse666, MiniPlasma a powerful LPE : https://deadeclipse666.blogspot.com/GitHub Nightmare-Eclipse/MiniPlasma : https://github.com/Nightmare-Eclipse/MiniPlasmaMicrosoft Security Response Center, CVE-2020-17103 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103James Forshaw, Project Zero, Hunting for Bugs in Windows Mini-Filter Drivers : https://googleprojectzero.blogspot.com/2021/01/hunting-for-bugs-in-windows-mini-filter.htmlExodus Intelligence, Microsoft Windows Cloud Files Minifilter TOCTOU Privilege Escalation, CVE-2025-55680 : https://blog.exodusintel.com/2025/10/20/microsoft-windows-cloud-files-minifilter-toctou-privilege-escalation/Microsoft Security Response Center, CVE-2025-62221 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221Analyse complète sur le blog : https://blog.marcfredericgomez.fr/miniplasma-chaotic-eclipse-rouvre-cldflt-sys-et-relance-la-question-de-la-durabilite-des-patches-microsoft/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #Windows #cldflt #CloudFiles #PrivilegeEscalation #LPE #ChaoticEclipse #NightmareEclipse #MiniPlasma #YellowKey #Microsoft #MSRC #SilentPatching #PatchTuesday #VulnerabilityManagement #RadioCSIRT
    Show More Show Less
    26 mins
  • Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026

    Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026
    May 15 2026
    Le 12 mai 2026, AMD publie l'avis AMD-SB-7052 décrivant la vulnérabilité CVE-2025-54518 dans le cache d'opcodes des processeurs Zen 2. CVSS 4.0 de 7.3, CWE-1189, élévation locale et évasion guest vers host confirmée par Xen XSA-490 et Qubes QSB-113. Le périmètre couvre EPYC 7002, Ryzen 3000/4000 Desktop, Ryzen 5000 Mobile, Threadripper PRO 3000 WX et Ryzen Embedded V2000. Mitigation via microcode AGESA diffusé aux OEM entre octobre 2025 et décembre 2025, divulgation publique coordonnée après sept mois d'embargo.Simon Kelley, mainteneur unique de dnsmasq, fait face à un afflux massif de bug reports générés par IA. Six CVE remontent à des rapports automatisés, posant la question de la soutenabilité de la maintenance open source face à la submersion par découvertes IA convergentes. Le cas illustre une érosion du modèle CVD classique sur les composants à mainteneur unique.Microsoft confirme l'exploitation active de CVE-2026-40361, vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook wwlib.dll. L'exploitation se déclenche au simple chargement du panneau de prévisualisation, sans interaction utilisateur. Le correctif est intégré au Patch Tuesday de mai 2026.D'après BleepingComputer, la deuxième journée du concours Pwn2Own Berlin 2026 a livré 15 zero-days uniques pour 385 750 dollars de récompenses. Orange Tsai (DEVCORE) a chaîné trois bugs pour obtenir un Remote Code Execution SYSTEM sur Microsoft Exchange, empochant 200 000 dollars. Siyeon Wi a exploité un integer overflow sur Windows 11, et Ben Koo (Team DDOS) a élevé ses privilèges en root sur Red Hat Enterprise Linux for Workstations via un use-after-free.Le 14 mai 2026, CISA ajoute CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities. La faille, CVSS 10.0, est un authentication bypass dans le mécanisme de peering de Cisco Catalyst SD-WAN Controller et SD-WAN Manager. L'exploitation active est attribuée par Cisco Talos au cluster UAT-8616, déjà responsable de l'exploitation de CVE-2026-20127. Les agences fédérales américaines ont jusqu'au 17 mai 2026 pour appliquer les correctifs.Le 15 mai 2026, CISA ajoute CVE-2026-42897 au catalogue KEV. La vulnérabilité, CVSS 8.1, est un cross-site scripting dans Microsoft Exchange Server affectant Outlook Web Access. L'exploitation se fait via l'envoi d'un email spécialement conçu permettant l'exécution de JavaScript arbitraire dans le contexte du navigateur. Les versions concernées sont Exchange Server 2016, 2019 et Subscription Edition. Microsoft fournit une mitigation temporaire via l'Exchange Emergency Mitigation Service en attendant un correctif définitif.Sources : Une vulnérabilité dans le cache d'opcodes des processeurs AMD Zen 2 — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/une-vulnerabilite-dans-le-cache-dopcodes-des-processeurs-amd-zen-2/Six CVE dnsmasq, un mainteneur épuisé par le tsunami de bug reports générés par IA — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/six-cve-dnsmasq-un-mainteneur-epuise-par-le-tsunami-de-bug-reports-generes-par-ia/CVE-2026-40361 : vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook (wwlib.dll) — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/cve-2026-40361-vulnerabilite-zero-click-use-after-free-dans-le-moteur-de-rendu-outlook-wwlib-dll/Pwn2Own Day Two: hackers demo Microsoft Exchange, Windows 11, Red Hat Enterprise Linux zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/ CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-20182) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-42897) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #AMD #Zen2 #OpcodeCache #CVE #XenProject #QubesOS #dnsmasq #OpenSource #AIBugReports #Outlook #ZeroClick #UseAfterFree #wwlib #Pwn2Own #P2OBerlin #Exchange #Windows11 #RedHat #DEVCORE #OrangeTsai #CISA #KEV #Cisco #CatalystSDWAN #UAT8616 #MicrosoftExchange #OWA #XSS #PatchTuesday #RadioCSIRT
    Show More Show Less
    11 mins
  • Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026

    Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026
    May 14 2026
    Cet épisode spécial revient en détail sur l'affaire YellowKey et GreenPlasma, deux vulnérabilités zero-day Windows divulguées publiquement le 12 mai 2026 par un chercheur indépendant opérant sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse, sans coordination préalable avec Microsoft. Aucun identifiant CVE n'a été attribué à ce jour, aucun correctif éditeur n'est disponible, et des codes proof-of-concept fonctionnels sont publiquement accessibles sur GitHub.Le chercheur Chaotic Eclipse mène depuis avril 2026 une campagne de divulgations non coordonnées contre Microsoft, motivée selon ses propres déclarations par une rupture de confiance avec le Microsoft Security Response Center et par le recours présumé au silent patching. Trois zero-day Windows Defender ont été publiés précédemment : BlueHammer (CVE-2026-33825, corrigé), RedSun (correctif silencieux selon le chercheur, sans CVE), et UnDefend. Le chercheur annonce la poursuite de la campagne lors du Patch Tuesday de juin 2026 et déclare disposer d'un dead man switch contenant d'autres exploits.YellowKey permet le contournement complet du chiffrement BitLocker sur Windows 11, Windows Server 2022 et Windows Server 2025 en cas d'accès physique à la machine. L'attaque consiste à déposer des fichiers spécialement formatés dans un répertoire FsTx placé dans System Volume Information sur une clé USB, à brancher cette clé sur la machine cible, à redémarrer dans le Windows Recovery Environment et à maintenir la touche CTRL pendant le boot. Le système ouvre alors un shell cmd.exe avec accès intégral au volume protégé par BitLocker, sans demande de recovery key ni de PIN. L'analyse technique de Will Dormann (Tharros Labs) montre que le mécanisme exploité repose sur la capacité d'un répertoire System Volume Information FsTx situé sur un volume à modifier le contenu d'un autre volume lors du replay transactionnel NTFS. Le chercheur indique également que la vulnérabilité reste exploitable sur les configurations BitLocker avec TPM et PIN, sans publier le proof-of-concept pour cette variante.GreenPlasma est une élévation de privilèges locale vers SYSTEM exploitant le processus CTFMON, composant du Collaborative Translation Framework qui s'exécute en SYSTEM dans chaque session interactive Windows. Le mécanisme repose sur la création par un utilisateur non privilégié d'un memory section object arbitraire dans un directory object writable par SYSTEM, au sein du namespace de l'Object Manager Windows. Le proof-of-concept publié sur GitHub est volontairement incomplet, le chercheur ayant retiré le composant final permettant d'obtenir un shell SYSTEM. GreenPlasma est confirmée fonctionnelle sur Windows 11, Windows Server 2022 et Windows Server 2026.La reproductibilité de YellowKey a été confirmée par plusieurs chercheurs indépendants reconnus, dont Kevin Beaumont, Will Dormann, KevTheHermit et JaGoTu. Microsoft a déclaré être engagé dans l'investigation des vulnérabilités rapportées et soutenir le principe de Coordinated Vulnerability Disclosure, sans publier de correctif, d'avis MSRC ni d'attribution CVE à la date de cet épisode. RadioCSIRT suivra l'évolution de ce dossier dans les prochains numéros.Sources :The Register, Disgruntled researcher releases two more Microsoft zero-days : https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/BleepingComputer, Windows BitLocker zero-day gives access to protected drives : https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/SecurityWeek, Researcher Drops YellowKey, GreenPlasma Windows Zero-Days : https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/The Hacker News, Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation : https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.htmlTom's Hardware, YellowKey zero-day exploit demonstrates an apparent backdoor : https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoorCybernews, BitLocker bypass zero-day exploit released by disgruntled researcher : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/GitHub, Nightmare-Eclipse, GreenPlasma repository : https://github.com/Nightmare-Eclipse/GreenPlasmaChaotic Eclipse blog, deadeclipse666 : https://deadeclipse666.blogspot.com/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #YellowKey #GreenPlasma #ChaoticEclipse #NightmareEclipse #BitLocker #Windows11 #WindowsServer #WinRE #CTFMON...
    Show More Show Less
    16 mins
adbl_web_anon_alc_button_suppression_c
No reviews yet