Marc-Frédéric Gomez

🎙️ Ep.647 du podcast RadioCSIRT en ligne Spécial MiniPlasma. La 5e divulgation publique non coordonnée de Chaotic Eclipse en six semaines. La cible : cldflt.sys, le driver Windows Cloud Files chargé par défaut sur tout Windows moderne. L'allégation qui interroge : le patch CVE-2020-17103 publié par Microsoft en décembre 2020 ne serait pas présent sur Windows 11 et Windows Server 2025. PoC public, shell SYSTEM, pas de correctif. Au sommaire : 👉 décryptage technique, trois hypothèses sur la table (variante, régression silencieuse, propagation incomplète), 👉historique des 4 CVE cldflt.sys en 18 mois, 👉mitigations immédiates et anticipation Patch Tuesday juin. À écouter sur toutes les plateformes habituelles. 🎧 https://t.co/BaLXuxFnUU ⚡ On ne réfléchit pas, on patch ! #RadioCSIRT #CyberSecurity #CERT #CSIRT #CTI #Windows #cldflt #MiniPlasma #ChaoticEclipse #Microsoft #PatchTuesday

🔴 MiniPlasma 5e divulgation publique non coordonnée de Chaotic Eclipse en 6 semaines. Cible : cldflt.sys (Cloud Files Mini Filter Driver). PoC : SYSTEM shell sur Windows 11 + Server 2025 entièrement patchés. Allégation extraordinaire : le patch CVE-2020-17103 serait absent. À vérifier. Le binaire dira. Analyse : https://t.co/tMrlbRVUqT #CVE #Windows #LPE

📰 Newsletter RadioCSIRT, N°54 Au sommaire de la semaine du 9 au 15 mai 2026 : famille Dirty Frag (CVE-2026-43284 / 43500), YellowKey contre BitLocker, CVE-2026-40361 zero-click Outlook, AMD-SB-7052, Shai-Hulud, et bien plus. https://t.co/O1clUJ3Y6A ⚡ On ne réfléchit pas, on patch ! #CyberSecurity #CERT #CTI #DirtyFrag #YellowKey #PatchTuesday

CVE-2026-40361 : UN E-MAIL SUFFIT. Pas de clic. Pas de pièce jointe ouverte. Pas de macro activée. Le simple affichage du message dans le volet de lecture Outlook suffit à déclencher l'exécution de code via une corruption mémoire dans wwlib.dll, la DLL partagée par Word et Outlook. Microsoft a publié le correctif le 12 mai 2026 dans le Patch Tuesday mensuel. CVSS 8.4. Exploitation More Likely. Découverte revendiquée par Haifei Li, le chercheur déjà à l'origine de BadWinmail il y a dix ans, qui qualifie cette nouvelle vulnérabilité de successeur direct de son « enterprise killer » de 2015. Le profil d'attaque est défavorable au défenseur sur quatre dimensions : déclenchement zero-click via volet de lecture, livraison directe en boîte de réception, absence de bac à sable applicatif dans Outlook Classic, partage du code path avec Word et l'Explorateur Windows. Dans l'article, je détaille la chaîne technique, les conditions d'exploitation, les mitigations applicables immédiatement (patch, rendu texte brut, désactivation du volet de lecture, règles ASR Defender), les indicateurs comportementaux pertinents pour les équipes EDR, et la comparaison avec les RCE Word historiques (Equation Editor, Follina, EPM NTLM relay). À lire et à diffuser aux populations à risque élevé : direction, finance, RH, achats, juridique, communication externe. 🧑‍💻https://t.co/wTRixHjpEg On ne réfléchit pas, on patch ! #CyberSecurity #CTI #VulnerabilityManagement #PatchTuesday #Microsoft #Outlook #ZeroClick #CVE202640361 #ThreatIntelligence #CERT #VOC #IncidentResponse #RadioCSIRT

O Google acabou de transformar mais de 1 bilhão de computadores em depósito de IA. Inclusive o seu. Sem pedir. Sem avisar. Sem um único popup. O Chrome baixou 4GB de modelo de inteligência artificial no seu disco. O arquivo se chama weights.bin, são os pesos do Gemini Nano. Fica numa pasta chamada OptGuideOnDeviceModel dentro do seu perfil do Chrome. Você não autorizou nada. Até existe uma configuração para impedir, mas tá enterrada em submenus que ninguém encontra. E as AI features vêm ligadas por padrão. Se você deletar o arquivo, o Chrome baixa de novo. Sozinho. Em silêncio. Você decide o que fica no seu disco e o navegador simplesmente ignora. Funciona assim em Windows, macOS e Ubuntu. Logs forenses no macOS mostram que o arquivo foi instalado dia 24 de abril de 2026, misturado com patches de segurança. Desenvolvedores dizem que isso já rola há mais de um ano. E tem um detalhe que deixa tudo mais ridículo: O Chrome 147 coloca um botão "AI Mode" na barra de endereço. Você vê aquilo, sabe que tem modelo de IA no seu computador, e assume que suas buscas rodam localmente. Não rodam. O AI Mode é 100% cloud. Tudo vai para os servidores do Google. O modelo de 4GB no seu disco não tem nada a ver com aquele botão. Ele serve para quê? "Help me write" e detecção de scam. Coisas que vivem em submenus de clique-direito que você provavelmente nunca abriu. O Google ocupou 4GB do seu disco sem pedir, para rodar coisas que quase ninguém usa, enquanto a IA que você de fato vê manda tudo para a nuvem. Na Europa, pesquisadores já apontam violação do Artigo 5(3) da Diretiva ePrivacy, que exige consentimento antes de armazenar software no dispositivo do usuário. Como desativar: → chrome://flags → Busque "Optimization Guide On Device Model" → Desative → Reinicie o Chrome → Delete a pasta OptGuideOnDeviceModel Seu computador só é seu se você ficar de olho.

Édition spéciale Star Wars Day. Votre flash info cyber est livré aujourd'hui par les forces de la Cyber Threat Intelligence Impériale. Le côté obscur n'altère pas les faits, il les éclaire. 🎙️ https://t.co/W9e9TDdEtd Le CERT-FR signale plusieurs vulnérabilités dans la plateforme MISP dans toutes les versions antérieures à 2.5.37 : contournement de la politique de sécurité, injection SQL et élévation de privilèges. Le CERT-FR consolide plus de 80 vulnérabilités découvertes dans les produits Microsoft entre le 22 avril et le 02 mai 2026, concentrées sur le composant azl3 kernel d'Azure Linux dans toutes les versions antérieures à 6.6.137.1-1. Plus de soixante CVE émises sur la seule journée du 26 avril. Microsoft Edge fait l'objet de 27 vulnérabilités identifiées sur la seule journée du 1er mai, affectant l'ensemble des versions antérieures à 147.0.3912.98. Périmètre client-side plaçant les postes utilisateurs en première ligne d'exposition. Securonix documente la campagne VENOMOUS HELPER, active depuis avril 2025 et ayant frappé plus de 80 organisations principalement aux États-Unis. Phishing usurpant la Social Security Administration, déploiement de SimpleHelp RMM avec persistance Safe Mode, élévation SYSTEM via AdjustTokenPrivileges, architecture dual-channel résiliente avec ConnectWise ScreenConnect en repli. La CISA ajoute la faille Copy Fail (CVE-2026-31431) à son catalogue KEV le 02 mai 2026. La vulnérabilité affecte l'interface algif_aead du noyau Linux et permet à un utilisateur local non privilégié d'obtenir les privilèges root en écrivant quatre octets contrôlés dans le page cache. Exploit Python 100% fiable contre Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 et SUSE 16. Périmètre couvrant tous les kernels Linux compilés depuis 2017. Lightning AI publie un avis de sécurité sur la version 2.6.3 du package PyTorch Lightning distribuée sur PyPI, contenant une chaîne d'exécution cachée déclenchée à l'import. PyPI a basculé sur la version 2.6.1. ⚡️ Que la Force du patch soit avec vous. On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : [email protected] 🌐 Site : https://t.co/zFXAixRpJH 📰 Newsletter : https://t.co/SKpSy2BxyR #CyberSecurity #CERT #CSIRT #ThreatIntelligence #StarWarsDay #MayThe4th #MISP #Microsoft #MicrosoftEdge #VENOMOUSHELPER #SimpleHelp #ScreenConnect #STAC6405 #CopyFail #LinuxKernel #CVE202631431 #KEV #CISA #PyTorchLightning #PyPI #ShaiWorm #SupplyChain #RadioCSIRT

Au sommaire de cette édition : Canonical détaille sa stratégie d'intégration de l'intelligence artificielle dans Ubuntu pour 2026, avec un biais affirmé pour l'inférence locale et les modèles à poids ouverts. Divulgation publique de CVE-2026-31431, baptisée Copy Fail, une élévation locale de privilèges dans le module algif_aead du noyau Linux, avec exploit déjà disponible. La CISA et ses partenaires internationaux publient un guide consacré à l'adoption sécurisée de l'agentic AI, ciblant les risques de privilege creep et de behavioral misalignment. Diffusion d'un guide conjoint CISA, DoW, DOE, FBI et DOS sur l'application des principes Zero Trust aux environnements Operational Technology, avec mention explicite des activités de Volt Typhoon. Le NCSC britannique alerte sur les métriques contre-productives appliquées aux Security Operations Centers et plaide pour une approche centrée sur le Time To Detect et le hypothesis-led threat hunting. Toujours côté NCSC, Ollie Whitehouse appelle les organisations à se préparer à une vulnerability patch wave provoquée par l'exploitation à grande échelle de la dette technique via l'intelligence artificielle. Inscription au KEV Catalog de CVE-2026-31431 affectant le noyau Linux, deux jours après sa divulgation par Canonical. Inscription également au KEV Catalog de CVE-2026-41940, une faille Missing Authentication for Critical Function dans WebPros cPanel & WHM et WP2. On ne réfléchit pas, on patch ! Pour écouter l'épisode: https://t.co/ilvSv3pnwV

🚨 CVE-2026-41940 : CONTOURNEMENT D'AUTHENTIFICATION CRITIQUE DANS CPANEL & WHM EXPLOITÉ EN ZERO-DAY DEPUIS FÉVRIER 2026 🚨 ⚠️ CVSS 9.8, exploitation in-the-wild active depuis le 23 février 2026 (plus de 60 jours avant la divulgation), 1,5 million d'instances exposées, inscription au catalogue CISA KEV : analyse technique complète, chronologie, IOC, mitigations et posture défensive recommandée pour les CERT, CSIRT et SOC. 🔗 https://t.co/uBVr0oZzqH #CyberSecurity #CTI #ThreatIntelligence #cPanel #WHM #CVE #ZeroDay #VulnerabilityManagement #CERT #CSIRT #SOC #CISAKEV #WebHosting #IncidentResponse #InfoSec #BlueTeam #PatchManagement #RadioCSIRT

Quelque chose d'inhabituel dans le dernier Vulnerability Summary CISA : sur les 51 vulnérabilités publiées, 35 portent un CVE-ID de la plage 2018-25xxx. Soit près de 70 % du bulletin consacré à la régularisation rétroactive de failles vieilles de huit ans, attribuées en 2026 par VulnCheck en sa qualité de CNA. Le phénomène a des effets concrets sur les programmes de vulnerability management que les équipes voient passer en ce moment : pics d'alerte sans modification de la surface d'attaque réelle, distorsion des métriques MTTR, scores EPSS paradoxalement bas pour des exploits publics depuis 2018. J'ai pris le temps d'en tirer une analyse complète, qui traite aussi les entrées plus opérationnelles du bulletin : Fortra GoAnywhere MFT (deux nouvelles CVE, dans la continuité de l'historique Cl0p), Seeyon OA A8 avec exploitation Shadowserver documentée depuis mars 2021, OpenSC libopensc côté supply chain hardware, et les vulnérabilités GitLab à connaître pour ceux dont le forge est central dans la chaîne CI/CD. Article complet : https://t.co/qSPfA7MBNY #CTI #ThreatIntelligence #VulnerabilityManagement #CISA #CVE #VulnCheck #Cybersecurity

Édition spéciale consacrée à FreeBSD comme station de travail OSINT, avec un panorama pratique et un angle comparatif face aux distributions Linux dédiées. FreeBSD est un système d'exploitation Unix libre, développé depuis 1993 sous licence BSD permissive, dont la philosophie repose sur l'intégration cohérente du noyau et du userland. Plusieurs caractéristiques structurelles le rendent pertinent pour la conduite d'investigations en sources ouvertes : ZFS intégré nativement avec snapshots instantanés et intégrité par checksums, jails comme mécanisme de cloisonnement léger antérieur de plus d'une décennie aux conteneurs Linux, pare-feu pf hérité d'OpenBSD pour le filtrage des flux sortants, dtrace et auditd pour la traçabilité système, et stabilité d'ABI garantie sur l'ensemble d'une branche majeure. 🎙️https://t.co/sUGNvg66Lr #RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #FreeBSD #OSINT #Unix #BSD #ZFS #Jails #pf #WireGuard #Tor #Anonymisation #Reconnaissance #Énumération #theHarvester #amass #subfinder #reconng #sherlock #SpiderFoot #Maltego #Tsurugi #Tails #Whonix #Kali #Parrot #DFIR #ChainOfCustody #Hardening #Sandboxing #Infosec #CyberNews

Au sommaire aujourd'hui : 👉 Pack2TheRoot, une faille vieille de douze ans dans PackageKit qui offre un accès root sur la plupart des distributions Linux. 👉Une campagne de Spear Phishing sur Signal visant la présidente du Bundestag allemand Julia Klöckner, attribuée à des opérations hybrides liées à la Russie. 👉La NASA victime d'une opération d'ingénierie sociale chinoise ciblant des logiciels de défense soumis à contrôle d'exportation. 👉ShinyHunters qui revendique 8,7 millions d'enregistrements exfiltrés chez Holland America Line, filiale de Carnival Corporation. 👉Quatre nouvelles vulnérabilités ajoutées au catalogue KEV de la CISA, touchant Samsung MagicINFO, SimpleHelp et les routeurs D-Link. 👉Trois avis du CERT-FR à ne pas manquer : noyau Linux Ubuntu, Synology DSM et les produits Tenable. Ecouter l'épisode: https://t.co/fsJrzVRmfe #RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Pack2TheRoot #PackageKit #Linux #LPE #Ubuntu #Fedora #Signal #Phishing #Bundestag #SocialEngineering #NASA #SongWu #AVIC #China #SpearPhishing #Carnival #HollandAmerica #ShinyHunters #DataBreach #CISA #KEV #Samsung #SimpleHelp #DLink #Mirai #CERTFR #Synology

L'épisode 634 de RadioCSIRT vient de paraitre Au programme de ce flash info Le NCSC britannique publie au deuxième jour de CYBERUK 2026 une advisory conjointe avec quinze agences partenaires sur les covert networks liés à la Chine, ces réseaux de edge devices compromis exploités pour dissimuler les activités malveillantes d'acteurs pro-chinois, avec un focus sur le phénomène d'IOC extinction. Canonical libère Ubuntu 26.04 LTS, nom de code Resolute Raccoon, première LTS à basculer exclusivement sur Wayland avec la disparition définitive de la session X11 des options de connexion, embarquant GNOME 50 et le noyau Linux 6.20. Le Centre canadien pour la cybersécurité publie le bulletin AV26-379 relayant plusieurs avis de sécurité n8n dont certains critiques, touchant notamment le MCP Client Registration, le MCP OAuth client et le Python Task Runner. Rapid7 documente Kyber, un nouveau ransomware déployé en deux variantes Windows et ESXi, dont la version Windows utilise Kyber1024, un algorithme de cryptographie post-quantique, pour protéger les clés de chiffrement AES-CTR. Moonshot AI publie Kimi K2.6, un modèle open-weight de 1 000 milliards de paramètres en architecture Mixture-of-Experts qui devance Claude Opus 4.6 et GPT-5.4 sur SWE-Bench Pro, DeepSearchQA et Terminal-Bench 2.0, avec une fenêtre de contexte de 256 000 tokens. Le NCSC britannique recommande désormais aux consommateurs d'utiliser les passkeys comme méthode d'authentification de premier choix, établissant qu'elles offrent une résilience au moins équivalente à un mot de passe robuste combiné à une 2SV. Le FIRST publie un retour d'expérience de l'équipe CIRT-BS des Bahamas à l'approche du lancement officiel de Cyber Reef, son service dédié aux moyennes et grandes organisations, couvrant threat intelligence ciblée, DFIR et déploiement de sondes T-Pot honeypot. Bonne écoute à toutes et à tous. 🎙️ https://t.co/KHhAyXzRRU

Bonjour à toutes et à tous, et bienvenue dans ce flash info RadioCSIRT. Au sommaire de cette édition : Darktrace expose ZionSiphon, un malware OT politiquement motivé ciblant les systèmes de traitement et de désalinisation de l'eau en Israël, avec une logique de sabotage visant les dosages de chlore et les pressions hydrauliques. MZLA Technologies, filiale de la Mozilla Foundation, lance Thunderbolt, un AI client open source et self-hostable intégrant nativement le framework Haystack de deepset pour bâtir une stack d'IA souveraine. Le CERT-UA documente l'intensification des campagnes du cluster UAC-0247 contre les hôpitaux et collectivités locales ukrainiennes, avec un arsenal complet mêlant RAVENSHELL, AGINGFLY, SILENTLOOP, LIGOLO-NG, CHISEL et RUSTSCAN. CISA ajoute la CVE-2026-34197 à son catalogue Known Exploited Vulnerabilities, une faille critique d'Apache ActiveMQ Classic exploitée via l'API Jolokia, dormante depuis treize ans selon https://t.co/cNoLGK4Cm6. Microsoft retire une mise à jour de service provoquant des launch failures sur le client desktop Teams, et publie en parallèle des correctifs out-of-band pour corriger une restart loop sur les domain controllers Windows Server causée par des crashes LSASS post-KB5082063. Xavier Mertens revient sur l'Internet Storm Center du SANS sur l'usage du scoring EPSS pour prioriser le triage des vulnérabilités face au flot quotidien de CVE. On ne réfléchit pas, on patch ! Ecouter l'épisode: https://t.co/hN6rxD5vme

Ep.630 - RadioCSIRT Édition Française - flash info cybersécurité du mercredi 15 avril 2026 🎙️https://t.co/PblBp1BJdB L'Australian Signals Directorate met à jour ses guides sur la sécurité des réseaux sociaux et la détection des messages de social engineering, avec un focus sur l'obfuscation d'URL, les attaques par QR code et la fraude au président. La CISA ajoute deux nouvelles entrées à son catalogue KEV, dont une vulnérabilité Microsoft Office datant de 2009 activement réexploitée. Le CERT-FR publie trois avis couvrant Fortinet (27 CVE, 27 bulletins), Ivanti Neurons for ITSM (XSS et contournement de politique de sécurité) et SAP (20 CVE sur NetWeaver ABAP, S/4HANA et BusinessObjects). Enfin, plus de trente plugins WordPress du package EssentialPlugin sont backdoorisés depuis août 2025, avec un mécanisme d'évasion combinant résolution C2 via Ethereum et ciblage sélectif du Googlebot. ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : [email protected] 🌐 Site : https://t.co/zFXAixRXzf 📰 Newsletter : https://t.co/SKpSy2C5op #RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #ASD #SocialEngineering #Phishing #QRCode #CEOFraud #Microsoft #SharePoint #Fortinet #FortiOS #FortiManager #FortiProxy #Ivanti #NeuronsForITSM #XSS #SAP #NetWeaver #S4HANA #BusinessObjects #WordPress #Backdoor #SupplyChain #Malware #C2 #Ethereum #Infosec #CyberNews

MICROSOFT PATCH TUESDAY APRIL 2026 — 167 CVEs, 2 ZERO-DAYS, PUBLIC EXPLOIT FOR 11 DAYS BEFORE PATCH SharePoint actively exploited in the wild, BlueHammer on GitHub before the fix dropped, IKE at CVSS 9.8 unauthenticated, Active Directory RCE via Adjacent vector — this cycle is heavy and the vectors are precise. Full technical breakdown on my blog: MSRC-confirmed vectors, P0→P3 prioritization matrix, all 167 CVEs, KB5082200 changelog, and third-party updates (Adobe, Fortinet, Apache, Chrome). 🔗https://t.co/Y3cLRjRwgW #PatchTuesday #Microsoft #CVE #ZeroDay #CyberSecurity #ThreatIntelligence #SOC #CSIRT #Infosec #Vulnerability #BlueHammer #SharePoint #Defender #IKE #ActiveDirectory

PATCH TUESDAY MICROSOFT AVRIL 2026 — 167 CVE, 2 ZERO-DAYS, 1 EXPLOIT PUBLIC DEPUIS 11 JOURS SharePoint exploité in the wild, BlueHammer sur GitHub avant le patch, IKE en CVSS 9.8 non authentifié, Active Directory en Adjacent RCE — ce cycle est dense et les vecteurs sont précis. J'ai publié une analyse technique complète sur mon blog : vecteurs MSRC confirmés, matrice de priorisation P0→P3, tableau des 167 CVE, KB5082200, et les éditeurs tiers (Adobe, Fortinet, Apache, Chrome). 🔗 https://t.co/MG7g633JnB #PatchTuesday #Microsoft #CVE #ZeroDay #CyberSécurité #CTI #SOC #CSIRT #Infosec #Vulnerability #BlueHammer #SharePoint #Defender #IKE #ActiveDirectory

La Newsletter RadioCSIRT N°53 est en ligne. Cette semaine couverte en cinq épisodes : Claude Mythos Preview — Anthropic restreint l'accès à son nouveau modèle frontier après une réunion d'urgence entre le Trésor américain, la Fed et les CEO des plus grandes banques. Exploitation autonome de Zero-Day, génération d'exploits en temps réel, infrastructure bloquée à 40 partenaires. Le secteur financier mondial vient d'entrer dans une nouvelle catégorie de risque cyber. Payload Ransomware — Actif depuis le 17 février 2026. 26 victimes, 7 pays, 2 603 Go exfiltrés. Deux binaires distincts ciblant Windows et VMware ESXi. ETW patching qui aveugle les EDR. Babuk sous stéroïdes. Conflit Iran — Six semaines de chronologie cyber complète : de la vague DDoS initiale à l'exploitation confirmée de PLCs dans les secteurs eau et énergie américains. L'avis conjoint FBI/CISA/NSA/ENERGY/CYBERCOM du 8 avril marque un basculement qualitatif. Ce n'est plus de la reconnaissance — c'est de l'impact opérationnel réel. Adobe Reader CVE-2026-34621 — Zero-day actif depuis novembre 2025. Cinq mois d'exploitation silencieuse avant divulgation. CVSS 9.6. Un PDF suffit. Patch d'urgence disponible. Patch Tuesday avril 2026 — Remote Code Execution critique sur Windows 11, Windows Server 2016 à 2025, Remote Desktop Services et Office simultanément. Plus les RDS : l'historique BlueKeep/DejaBlue justifie un traitement immédiat. 18 sources référencées. Format analytique, sans bruit. Abonnement gratuit : https://t.co/SKpSy2C5op Lire la newsletter : https://t.co/i9pTkmt5jm #RadioCSIRT #CyberSecurity #ThreatIntelligence #CTI #Ransomware #PatchTuesday #Iran #AdobeReader #Mythos