- Erreur 403
- Posts
- Erreur 403 | #14
Erreur 403 | #14
Phishing avancé sur Microsoft 365, fuites massives de données chez la FFF, vol record de 1,5 milliard de dollars en cryptomonnaies par Lazarus, fuite d’un million de cartes bancaires par B1ack’s Stash, vulnérabilités critiques exploitées (SonicWall, Microsoft, Adobe), fin des SMS sur Gmail, suppression du chiffrement E2E d’iCloud au UK, etc.
Bastien Cacace
February 27, 2025
Sommaire
Infos
Des chercheurs ont découvert une campagne d’espionnage exploitant une technique de phishing sophistiquée pour compromettre des comptes Microsoft 365. Cette méthode cible la procédure d'authentification par code d’appareil, utilisée principalement pour connecter des appareils comme des imprimantes ou des téléviseurs intelligents, en abusant de la confiance accordée à des liens et codes d'authentification.
La mise à jour Windows 11 KB5051987 de février 2025 provoque de nombreux problèmes chez les utilisateurs, notamment un dysfonctionnement de l’Explorateur de fichiers, des soucis avec la caméra, une baisse de performances, et des difficultés d’installation.
Le site de carding B1ack’s Stash a publié en février 2025 une liste de plus d’un million de cartes bancaires volées, incluant des données sensibles comme le PAN, la date d’expiration, et les coordonnées des titulaires, probablement obtenues via e-skimming. Cette fuite, présentant également des cartes européennes, semble être une stratégie marketing pour attirer des clients dans leur écosystème.
Des groupes de cybercriminalité basés en Chine exploitent des techniques de phishing avancées pour transformer des données de cartes bancaires volées en portefeuilles mobiles Apple et Google. Ces kits de phishing sophistiqués permettent d’envoyer des messages frauduleux via iMessage ou RCS, d’associer des cartes volées à des portefeuilles mobiles, et de créer des images virtuelles de cartes pour contourner les vérifications.
La Fédération Française de Football (FFF) a subi une cyberattaque majeure le 17 février 2025, entraînant le vol des données personnelles de 1,5 million de personnes, incluant licenciés, employés et bénévoles. Les informations dérobées comprennent noms, adresses, emails, numéros de téléphone et copies de pièces d’identité, mais pas de données bancaires ou médicales.
La plateforme d'échange de cryptomonnaies Bybit a subi une cyberattaque sophistiquée entraînant le vol de plus de 1,5 milliard de dollars en Ethereum, ce qui en fait le plus grand vol de cryptomonnaies jamais enregistré. Bybit offre une récompense de 10 % des fonds récupérés pour ceux qui voudraient collaborer pour retrouver les pirates. L’attaque est attribuée au groupe nord-coréen Lazarus. Cet événement met en lumière des vulnérabilités jusque-là sous-estimées dans la sécurité des portefeuilles multisignatures "froids" (cold wallets) et soulève des questions cruciales sur les méthodes de protection dans l'industrie des crypto-monnaies. Checkpoint a publié un rapport de l’incident.
Apple a supprimé l’option de sauvegardes iCloud chiffrées de bout en bout (E2E) au Royaume-Uni à la suite d’une « Capability Notice » imposée par le gouvernement via l’Investigatory Powers Act 2016. Les nouveaux utilisateurs britanniques ne pourront plus activer la protection renforcée des données (ADP), et les utilisateurs existants devront la désactiver, rendant leurs données accessibles à Apple et aux autorités sur demande légale.
Une arnaque par emails exploite la fonctionnalité "Ajouter une nouvelle adresse" de PayPal pour envoyer des notifications légitimes contenant de faux messages d’achat, notamment pour des MacBook, et incite les victimes à appeler un faux service client.
Entre janvier et février 2025, des attaquants ont mené une attaque de type "Business Email Compromise" (BEC) combinée à une attaque "Adversary-In-The-Middle" (AiTM) ciblant une organisation de services professionnels. Ils ont ensuite élargi leur campagne en enregistrant des comptes Dropbox et WeTransfer avec l'email d’entreprise de la victime, permettant de cibler d’autres organisations via des notifications et factures frauduleuses sans nécessiter un accès direct au compte initial.
MonAideCyber est un programme d’accompagnement et de formation gratuit à destination d’une communauté d’Aidants leur permettant de guider leur écosystème pour mettre en œuvre une démarche de cybersécurité. MonAideCyber s’adresse aux entités publiques, associatives et privées, déjà sensibilisées et de faible maturité cyber, qui souhaitent s’engager dans une démarche progressive. Les particuliers ne sont pas concernés.
Un botnet de plus de 130 000 appareils compromis mène des attaques coordonnées par "password spraying" contre des comptes Microsoft 365, exploitant des connexions non interactives (utilisé pour les authentifications entre différents services) pour contourner la MFA et éviter la détection. Les secteurs sensibles, comme les services financiers, la santé ou la défense sont particulièrement à risque.
Google prévoit d’éliminer l’utilisation des codes SMS pour l’authentification des comptes Gmail, au profit de méthodes plus sûres, comme les QR codes.
Le groupe de hackers Massgrave a dévoilé une nouvelle version de son outil open-source, Microsoft Activation Scripts (MAS) 3.0, intégrant la méthode TSforge Activation. Celle-ci permet d’activer gratuitement et définitivement Windows (de 7 à 11), Office (de 2013 à 2024) ainsi que les versions de Windows Server en contournant le système de protection de Microsoft, y compris pour des fonctionnalités de mises à jour de sécurité prolongées. L’outil est disponible sur GitHub, plateforme qui appartient à Microsoft…
Vulnérabilités
10 vulnérabilités critiques impactant notamment les produits Atlassian (Confluence), IBM et Microsoft. La vulnérabilité CVE-2025-24989 (CVSS 8.2) affectant Microsoft Power Pages est activement exploitée.
Une vulnérabilité critique (CVE-2024-53704) dans SonicWall SonicOS SSLVPN, permettant le contournement de l'authentification et la prise de contrôle des sessions VPN actives, fait actuellement l'objet d'exploitations actives. Bien qu'un correctif soit disponible depuis janvier, de nombreuses entreprises n'ont pas encore mis à jour leurs appareils, augmentant les risques d'accès non autorisés à leurs réseaux.
La CISA (U.S. Cybersecurity and Infrastructure Security Agency) a ajouté deux vulnérabilités critiques à son catalogue KEV : CVE-2017-3066, une faille de désérialisation critique dans Adobe ColdFusion (CVSS : 9.8), et CVE-2024-20953, une faille similaire dans Oracle Agile PLM (CVSS : 8.8). Ces deux failles ont été corrigées respectivement en 2017 et 2024.
Articles
Cet article explore une méthode exploitant l’empoisonnement LLMNR pour effectuer des attaques de relais Kerberos pré-authentifié sur HTTP. En abusant de la réponse DNS dans le multicast, il est possible de contourner les mécanismes de protection d'Active Directory et de relayer des requêtes AP-REQ Kerberos vers des services vulnérables, notamment via Responder et krbrelayx. Une vidéo de démonstration est disponible ici.
Un chercheur a découvert une vulnérabilité d’exécution de code à distance (RCE) dans l’application de bureau Chatwork, un outil de communication populaire au Japon.
Cet article détaille le fichier NTDS.dit, une base de données de l’Active Directory (AD), et introduit l’outil open-source DIT Explorer, conçu pour analyser sa structure. Il présente des méthodes pour acquérir NTDS.dit (via ntdsutil, diskshadow, vssadmin, etc.) tout en soulignant les précautions nécessaires pour éviter les corruptions. L’auteur explore également la structure interne du fichier, notamment les objets, attributs et classes, ainsi que les mécanismes de sécurité (descripteurs, conteneurs supprimés).
Une faille de sécurité dans AWS, nommée "whoAMI", exploite la confusion de noms d’Amazon Machine Images (AMI) pour exécuter du code malveillant sur des comptes AWS mal configurés. L'attaque cible les appels à l’API ec2:DescribeImages qui omettent de spécifier des propriétaires, permettant à des attaquants de substituer des AMIs malveillantes.
Un document très détaillé sur le fonctionnement de WebAuthn, une norme d'authentification qui utilise des schémas de signatures à clé publique pour remplacer les mots de passe traditionnels.
Des experts chinois, regroupés autour d’entités telles que Qihoo 360 et CVERC, attribuent à l'APT-C-40 (lié à la NSA) une cyberattaque sophistiquée en 2022 contre l’Université Polytechnique du Nord-Ouest en Chine, spécialisée dans la défense et l’aérospatial. Cette opération aurait exploité des zero-days et introduit plus de 40 outils malveillants, comme FOXACID et SECONDDATE, pour établir une persistance, voler des données sensibles et cibler des périphériques réseau.
ProjectDiscovery a mis en place un processus automatisé utilisant l’IA pour générer des templates Nuclei basés sur les CVE récemment publiées, réduisant ainsi le délai entre la divulgation des vulnérabilités et leur détection. En exploitant des outils comme CVEmap, une API dédiée et un modèle d'IA, ils extraient les données essentielles des POC et créent des templates optimisés via un système interne.
Bettercap est un outil polyvalent pour l’analyse de sécurité réseau et les tests d'intrusion, souvent surnommé le "couteau suisse" du pentesting. Disponible sur Android via Termux ou NetHunter, il permet des analyses discrètes grâce à des fonctionnalités telles que le Wi-Fi et Bluetooth scanning, le détournement de sessions (MITM), et la création de faux points d'accès.
Cet article explique comment configurer une porte dérobée ("Backdoor") furtive dans un environnement AWS en modifiant le rôle AWSControlTowerExecution. L'approche consiste à autoriser un compte externe contrôlé par l'attaquant, tout en rendant la backdoor indiscernable des configurations légitimes grâce à son apparence "officielle".
Lors de l’analyse d’une base SQLite d’historique de navigateurs Chromium (Chrome, Edge, Brave, Vivaldi), il est recommandé d'utiliser la version Windows de DB Browser for SQLite pour convertir rapidement des timestamps non lisibles en un format compréhensible via l’option "WebKit/Chromium epoch to local time".
Outils
OXO est un framework de scan de sécurité conçu pour être modulaire, évolutif et simple d’utilisation. Il combine des outils spécialisés tels que nmap, ZAP, Virustotal, ou Subfinder pour identifier des vulnérabilités et effectuer des tâches comme la reconnaissance, le fingerprinting ou le scan de fichiers APK/IPA.
Un moteur de recherche pour les writeups et solutions de CTF (Capture The Flag). Explorez une collection soigneusement sélectionnée de plus de 25 000 writeups de CTF.
Passkey Raider est une extension de Burp Suite conçue pour faciliter les tests des systèmes Passkey. Elle permet de décoder et encoder les données Passkey dans les requêtes HTTP, de remplacer automatiquement la clé publique dans les flux Passkey par une clé publique générée et de signer automatiquement les données dans les flux d’authentification Passkey en utilisant une clé privée générée.
Une collection de ressources dédiées aux techniques "Living off the Land" (LOL), où des outils, binaires, scripts et autres éléments légitimes sont détournés par des attaquants pour contourner les sécurités. Ces projets couvrent des aspects variés : binaires Windows (LOLBAS), Unix (GTFOBins), macOS (LOOBins), drivers (LOLDrivers), certificats abusifs (LoLCerts), outils Active Directory (LoLAD), etc.
Cette extension pour Chrome enrichit BloodHound Community Edition (CE) avec des fonctionnalités supplémentaires, comme la navigation dans l'historique des requêtes Cypher, des commandes de mise en page améliorées et un bouton d'accès rapide à Neo4j.
MSFTRecon est un outil permettant de cartographier les infrastructures Microsoft 365 et Azure. Cet outil effectue une énumération approfondie sans nécessiter d’authentification, ce qui aide à identifier d'éventuelles erreurs de configuration de sécurité et vecteurs d'attaque.
ExtensionHound est un outil conçu pour attribuer des requêtes DNS suspectes effectuées par des extensions Chrome spécifiques, surmontant la difficulté de leur traçabilité due au processus global "chrome.exe". Il associe les requêtes DNS à des extensions précises et offre des intégrations avec VirusTotal pour vérifier la réputation des domaines et Secure Annex pour obtenir des détails sur les extensions.
Cazadora est un script permettant de détecter rapidement des applications OAuth suspectes dans un environnement Microsoft 365. En s'appuyant sur l'authentification par code d'appareil ou via le module Azure SDK, il utilise l'API Graph pour collecter et analyser les applications et les principaux services d'un tenant Azure, en appliquant des règles de détection spécifiques.
CaptainCredz est un outil modulaire et discret de password spraying, conçu comme une refonte de CredMaster. Il propose des fonctionnalités améliorées, telles qu’un mécanisme de cache, des post_actions plus génériques et des options alternatives pour la rotation d’IP.
Oha est un utilitaire léger, écrit en Rust et inspiré de rakyll/hey, conçu pour réaliser des tests de charge HTTP avec affichage en temps réel via son interface utilisateur animée (TUI). Il permet d'envoyer un volume configurable de requêtes à une application web en définissant divers paramètres (nombre de requêtes, durée, parallélisme, génération d’URL aléatoires, etc.).
Conférences / Salons
🗓️ Insomni’hack - Du 10 au 15 mars 2025 à Genève (Suisse)
🗓️ IT & CYBERSECURITY MEETINGS - Du 18 au 20 mars 2025 à Cannes (France).
Misc
Une version fonctionnelle de Windows 95, développée via le projet v86, permet de revivre cet OS sur Windows, Linux ou Mac. La mise à jour 4.0.0 apporte des améliorations notables, telles que l’intégration d’Internet Explorer 5.5, un accès au système hôte pour le transfert de fichiers, ainsi que des applications iconiques comme Office '95 et Space Cadet Pinball.
Kener est une solution open-source développée en SvelteKit et NodeJS, permettant de créer facilement des pages de statut modernes et personnalisables.
L'auteur partage son expérience dans l'envoi de 500 millions de requêtes HTTP vers 2,5 millions de serveurs en quelques heures. En utilisant Go pour sa simplicité et ses performances, il a optimisé chaque étape (résolution DNS, threads, librairies HTTP) avec Kubernetes pour une échelle horizontale et a modifié la librairie fasthttp pour supprimer les étapes inutiles. Malgré des défis tels que la surcharge réseau et l'évitement des limitations de serveurs, il a réalisé des performances impressionnantes (jusqu'à 400 requêtes/s par pod).
Ce guide propose des pistes pour identifier et résoudre ces problèmes : profiler les requêtes lentes, optimiser les requêtes avec des index et des jointures, et réduire les verrous grâce à une bonne gestion des transactions.
GitIngest est une extension pour navigateur (Chrome, Firefox, Edge) qui transforme automatiquement des dépôts GitHub en un format compatible avec les modèles de langage (LLM) comme ChatGPT ou Claude.
Une femme dont le nom est Null continue de rencontrer des problèmes avec les systèmes informatiques.
Fake ou pas, les personnes portant le nom "Null" rencontrent d'importantes difficultés avec les systèmes informatiques, où "Null" est interprété comme un pointeur vide ou une variable sans valeur.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien