La publication de correctifs d'Adobe en octobre traite 36 CVEs à travers divers produits, les mises à jour de Substance 3D Stager, Dimension et Illustrator étant particulièrement importantes. Le Patch Tuesday d'octobre de Microsoft est massif, avec 177 nouvelles CVEs, ce qui en fait la plus grande publication mensuelle de Microsoft à ce jour. Seize vulnérabilités sont classées comme critiques et le reste comme importantes, certaines étant actuellement exploitées. Trois bogues sont confirmés comme étant sous attaque active, notamment les bogues d'élévation de privilèges du pilote de modem Agere Windows et du gestionnaire de connexion d'accès à distance. Une autre vulnérabilité notable est un contournement de Secure Boot dans IGEL OS, qui nécessite une attention particulière. La vulnérabilité d'exécution de code à distance du service de mise à jour de Windows Server (WSUS) présente également un risque important. La publication extensive de Microsoft pourrait être liée à la fin du support de Windows 10. Le volume important souligne la nécessité d'un test et d'un déploiement rapides des mises à jour de sécurité pour atténuer les risques. La liste fournie détaille les CVEs spécifiques, leurs titres, leurs notes de gravité et leur état actuel.

L'auteur a enquêté sur un crash dans Autodesk Revit 2025, initialement découvert grâce au fuzzing de fichiers RFA, ce qui a conduit à une vulnérabilité de confusion de type. Cette vulnérabilité résultait de la désérialisation d'un type `std::pair`. Le crash se produit lorsque le programme tente d'appeler un destructeur sur une valeur non-vtable. L'auteur a exploité la vulnérabilité pour obtenir l'exécution de code à distance. La recherche a impliqué l'ingénierie inverse et le débogage. Des outils tels que IDA Pro, WinDBG et Time Travel Debugging ont été utilisés. Une vulnérabilité de la chaîne d'approvisionnement basée sur le cloud dans le plugin Axis Communications pour Autodesk Revit, qui pouvait distribuer des fichiers RFA corrompus, a grandement aidé l'exploit. L'auteur a créé un outil, "CompoundFileTool", et un autre outil qui imitait le comportement gzip de Revit, qui étaient essentiels pour modifier efficacement les fichiers RFA. L'objectif était de manipuler l'offset 0x0 de l'objet désérialisé pour qu'il pointe vers une vtable contrôlée. L'auteur a finalement réussi à obtenir l'exécution de code arbitraire en exploitant la confusion de type. La recherche comprenait également l'ingénierie inverse et la compréhension du format RFA d'Autodesk, y compris le format des données compressées dans le flux Global/Latest.

La Trend Micro Zero Day Initiative a découvert une vulnérabilité critique dans la bibliothèque Transformers4Rec de NVIDIA, permettant l'exécution de code à distance avec des privilèges root. Cette vulnérabilité, CVE-2025-23298, découle d'une désérialisation non sécurisée lors du chargement de points de contrôle de modèles à l'aide du module pickle de Python. Transformers4Rec, faisant partie de l'écosystème Merlin, est largement utilisé pour les tâches de recommandation et s'intègre à Hugging Face Transformers. La faille réside dans la fonction `load_model_trainer_states_from_checkpoint`, qui utilise directement `torch.load()` sans paramètres de sécurité, l'exposant à des fichiers pickle malveillants. La méthode `__reduce__` de Pickle permet l'exécution de code arbitraire lors de la désérialisation. La surface d'attaque est importante en raison du partage fréquent de modèles et de la confiance accordée aux fichiers de points de contrôle, d'autant plus que ces processus s'exécutent souvent avec des privilèges élevés. Un point de contrôle malveillant pourrait exécuter des commandes système avant le chargement des poids du modèle. L'impact réel inclut l'exécution de code à distance, l'escalade de privilèges, l'exfiltration de données et les attaques de la chaîne d'approvisionnement. NVIDIA a corrigé la vulnérabilité en implémentant un mécanisme de chargement personnalisé qui restreint la désérialisation aux classes approuvées. Cet incident souligne les défis de sécurité omniprésents dans l'écosystème ML/IA en raison de la dépendance à pickle. Il est conseillé aux développeurs d'éviter pickle pour les données non fiables, d'utiliser `weights_only=True`, de restreindre les classes fiables et d'envisager des formats de sérialisation sécurisés comme Safetensors. Les organisations devraient auditer la provenance des modèles, implémenter la signature et mettre en bac à sable le chargement des modèles. La communauté ML doit s'éloigner de pickle et donner la priorité à la sécurité dans la conception des frameworks.

Adobe a publié neuf bulletins de sécurité pour septembre, traitant de 22 CVE uniques dans divers produits tels qu'Acrobat Reader, After Effects et Premiere Pro. Seule la mise à jour de ColdFusion est classée Priorité 1, bien qu'aucune exploitation ne soit détectée. La mise à jour de Commerce corrige un seul bug critique, également sans exploitation notée. Acrobat reçoit un correctif pour un bug critique et un modéré. After Effects comprend des correctifs pour trois bugs importants. Premiere Pro reçoit un correctif pour une vulnérabilité potentielle d'exécution de code. Substance 3D Viewer et Modeler ont chacun trois bugs d'exécution de code corrigés. Experience Manager a le plus de correctifs avec sept, dont un est critique. Le correctif de Dreamweaver corrige un bug de falsification de requête intersite. Aucune des vulnérabilités de septembre d'Adobe n'était publiquement connue ou activement exploitée lors de la publication. Microsoft a publié 80 nouveaux CVE pour septembre, couvrant Windows, Office, Azure, et plus encore, avec huit classés critiques et le reste importants. Ce volume place Microsoft bien en avance sur les publications de correctifs de l'année dernière. Un bug publiquement connu existe, mais aucun n'est en cours d'attaque active. Une vulnérabilité critique dans Microsoft HPC Pack permet l'exécution de code à distance sans interaction de l'utilisateur. Microsoft Office continue d'avoir des vulnérabilités d'exécution de code via son volet d'aperçu. Une vulnérabilité d'élévation de privilèges NTLM de Windows permet une escalade vers SYSTEM avec une faible complexité d'exploitation.

Adobe et Microsoft ont publié leurs correctifs de sécurité mensuels, Adobe résolvant 68 vulnérabilités CVE dans divers produits tels que Commerce, Illustrator et Photoshop. Microsoft a publié un volume important de 107 nouveaux CVE affectant Windows, Office, Edge et d'autres services, le plus haut volume depuis 2020. La priorité pour les mises à jour Adobe concerne Commerce et InCopy en raison de vulnérabilités critiques. Les correctifs de Microsoft incluent plusieurs vulnérabilités de haute gravité, comme les vulnérabilités d'exécution de code à distance (RCE) de GDI+ et du composant graphique Windows, exploitables via la navigation web. Microsoft Office est à nouveau affecté par des vulnérabilités de prévisualisation de panneau, et SharePoint a une vulnérabilité RCE critique similaire à celles utilisées dans des attaques récentes. Parmi les correctifs de Microsoft, 12 sont classés comme critiques, la majorité étant classée comme importantes. Une vulnérabilité publiquement connue existe dans les publications de Microsoft, mais aucune n'est signalée comme étant activement exploitée. Les correctifs d'Adobe ne signalent aucune vulnérabilité publiquement connue ou activement exploitée. Les utilisateurs sont conseillés de prioriser la mise à jour des problèmes critiques identifiés par les deux fournisseurs. Les détails complets et la récapitulation du webcast sont disponibles pour examen supplémentaire.

Pwn2Own revient à Cork, en Irlande, du 21 au 24 octobre 2025, avec Meta comme co-sponsor. Une prime significative de 1 000 000 $ est offerte pour une vulnérabilité WhatsApp 0-click menant à l'exécution de code. L'événement proposera huit catégories cibles, notamment les téléphones mobiles, les messageries, le Smashup SOHO, les appareils domestiques intelligents, les imprimantes, les appareils NAS, les systèmes de surveillance et les wearables. Les cibles de téléphones mobiles incluront désormais des vecteurs d'attaque USB, tandis que la catégorie Smashup SOHO a été rendue plus difficile. Les appareils domestiques intelligents et les systèmes de surveillance ont été consolidés à partir de catégories précédentes. Les imprimantes présenteront Brother comme nouvelle cible aux côtés des cibles existantes. Les appareils NAS de Synology et QNAP sont inclus, avec des packages spécifiques de Synology dans le périmètre. Les cibles wearables incluront les lunettes intelligentes Meta Ray-Ban et les Meta Quest 3/3S, avec des niveaux de prix différents pour les exigences d'interaction. Le titre de Maître de Pwn sera attribué au vainqueur global en fonction des points accumulés. Les inscriptions se clôtureront le 16 octobre 2025 à 17h00 heure standard irlandaise, sans exception pour les entrées tardives.

Une vulnérabilité dans Cisco Identity Services Engine (ISE), spécifiquement dans la méthode `enableStrongSwanTunnel`, permettait l'injection de commandes en tant que root. Initialement signalée comme une vulnérabilité de désérialisation, elle incluait également une faille d'injection de commandes. Le chercheur, Kentaro Kawane, a découvert que des données fournies par l'attaquant étaient utilisées pour exécuter des scripts shell avec des privilèges sudo. L'exploitation s'est avérée plus complexe que prévu en raison de la manière dont la méthode `exec()` de Java tokenise les commandes. Le `StringTokenizer` de Java ignore les guillemets, empêchant l'exécution directe de commandes ; cependant, le chercheur a contourné ce problème en utilisant la variable Bash `IFS` (Internal Field Separator). Cela a permis l'injection de commandes en tant qu'argument unique, évitant ainsi les problèmes de tokenisation. Les commandes injectées s'exécutaient initialement dans un conteneur Docker, mais comme le conteneur fonctionnait en mode privilégié, le chercheur a utilisé une technique de "User-Mode Helpers" pour s'échapper du conteneur et obtenir un accès root sur le système hôte. Un encodage base64 a été utilisé pour contourner la limitation du caractère espace dans la charge utile. L'exploit complet impliquait l'envoi d'une requête POST spécialement conçue à l'endpoint vulnérable. Cette exploitation réussie démontre une combinaison de vulnérabilités menant à un compromis total du système. Le chercheur souligne l'importance de comprendre à la fois le comportement de `exec()` de Java et les capacités des conteneurs Docker privilégiés. Des recherches supplémentaires dans ce domaine sont prévues.

Manfred Paul a exploité une vulnérabilité (CVE-2025-4919, ZDI-25-291) dans le compilateur JavaScript JIT IonMonkey de Firefox lors de Pwn2Own Berlin 2025. La vulnérabilité résidait dans la fonction `ExtractLinearSum`, utilisée pour simplifier les expressions linéaires. Cette fonction gérait incorrectement l'espace mathématique modulo, ce qui causait des problèmes avec les vérifications de limites. La fonction `TryEliminateBoundsCheck`, qui utilise `ExtractLinearSum`, fusionnait les vérifications de limites sans tenir compte des débordements d'entiers possibles. Cette faille permettait de contourner les vérifications de limites dans les tableaux typés de grande taille. L'exploitation impliquait la création d'un tableau typé de grande taille et la manipulation d'indices pour déclencher une lecture ou une écriture hors limites. L'exploit utilisait des opérations bit à bit pour forcer des additions avec wrapping, trompant ainsi l'élimination des vérifications de limites. Un BigInt a été utilisé pour empêcher les optimisations du compilateur qui auraient pu gêner l'exploit. La cause racine de la vulnérabilité réside dans la gestion incohérente de l'espace mathématique dans les différents sites d'appel de la fonction `ExtractLinearSum`. Des vulnérabilités similaires pourraient exister dans d'autres parties du compilateur Ion qui utilisent `ExtractLinearSum` pour l'analyse de boucles. Mozilla a corrigé la vulnérabilité dans Firefox 138.0.4. L'exploit a démontré le danger des opérations entières non vérifiées dans les compilateurs JIT.

Adobe n'a pas encore publié ses correctifs programmés pour juillet, mais Microsoft a publié 130 nouveaux CVE dans divers produits, notamment Windows, Office et Azure. Huit de ces bugs ont été signalés par le programme Trend ZDI, portant le total à 140 CVE. Dix des correctifs sont évalués comme Critiques, et les autres sont évalués comme Importants en termes de gravité. Un bug est connu publiquement, mais aucun n'est actuellement sous attaque active. Un bug notable est le CVE-2025-47981, une erreur de buffer overflow basée sur la heap dans le composant de négociation étendue SPNEGO de Windows qui permet aux attaquants distants non authentifiés d'exécuter du code. Un autre bug critique est le CVE-2025-49717, une erreur de buffer overflow basée sur la heap dans Microsoft SQL Server qui pourrait entraîner l'exécution de code. Un troisième bug critique est le CVE-2025-49704, une vulnérabilité d'exécution de code à distance dans Microsoft SharePoint qui a été utilisée lors d'une démonstration Pwn2Own Berlin. Il y a également quatre bugs Office évalués comme Critiques, tous ayant la zone d'aperçu comme vecteur d'attaque. Microsoft n'a pas encore publié de mises à jour pour Microsoft Office LTSC pour Mac 2021 et 2024. La liste complète des CVE publiés par Microsoft pour juillet 2025 est fournie.

Le texte traite de l'accès au stockage eMMC sans retirer le composant du dispositif, un processus préférable à la difficile rebouillage BGA. L'auteur vise à fournir un guide structuré pour lire et écrire des données sur les puces eMMC. Les prérequis incluent un dispositif à analyser, un dispositif d'interface et des équipements de microsoudure. Les signaux eMMC clés tels que CLK, CMD, DAT0 et les lignes d'alimentation sont expliqués. Le texte décrit le processus de localisation des signaux eMMC sur une carte, généralement en utilisant un analyseur logique. L'alimentation de la puce eMMC est abordée, avec des conseils sur l'utilisation soit de l'alimentation du dispositif, soit d'une alimentation externe, en prenant en compte les risques potentiels. Le texte met en évidence la nécessité de déterminer les tensions VDD et VDDQ et de traduire les niveaux de tension si nécessaire, en particulier pour les dispositifs utilisant des tensions plus faibles. Le document fournit un point de départ pour accéder aux données stockées sur eMMC sans désouder la puce.

Adobe a publié sept bulletins traitant de 254 CVE (Vulnérabilités et Expositions Communes) dans divers produits, notamment Acrobat Reader, Experience Manager et Substance 3D Sampler. Aucun des bogues corrigés par Adobe n'est répertorié comme étant publiquement connu ou activement exploité. Microsoft a publié 66 nouvelles CVE, dont 10 classées comme Critiques et les autres comme Importantes en termes de gravité. Un bogue est répertorié comme étant activement exploité et un autre est publiquement connu. Un bogue de niveau Critique dans WEBDAV force Windows à utiliser Internet Explorer, désormais obsolète, permettant l'exécution de code. Un autre bogue de niveau Critique dans Netlogon permet aux acteurs malveillants d'exécuter du code sur les contrôleurs de domaine. Un bogue dans Office permet l'exécution de code sans interaction de l'utilisateur, et quatre autres bogues liés à Office sont également de niveau Critique. Microsoft répertorie un bogue comme étant activement exploité, et un autre est publiquement connu. Les correctifs publiés par les deux entreprises doivent être appliqués dès que possible pour prévenir d'éventuelles attaques.

Le troisième et dernier jour de Pwn2Own Berlin 2025 s'est achevé, avec un total de 1 078 750 $ de prix décernés pendant l'événement. L'équipe STAR Labs SG a remporté le titre de Master of Pwn, empochant 320 000 $ et 35 points Master of Pwn. Sept des 28 vulnérabilités zero-day uniques divulguées pendant l'événement provenaient de la catégorie IA. Angelboy de l'équipe DEVCORE Research a démontré une élévation de privilèges sur Windows 11, remportant 11 250 $ et 2,25 points Master of Pwn. FPT NightWolf a exploité avec succès NVIDIA Triton, gagnant 15 000 $ et 1,5 points Master of Pwn. Manfred Paul a exploité Mozilla Firefox en utilisant un dépassement d'entier, remportant 50 000 $ et 5 points Master of Pwn. Nir Ohfeld et Shir Tamari ont exploité le NVIDIA Container Toolkit, gagnant 30 000 $ et 3 points Master of Pwn. Dung et Nguyen de STARLabs ont échappé à la VM et ont élevé leurs privilèges sur Windows, remportant 70 000 $ et 9 points Master of Pwn. L'événement s'est conclu avec Miloš Ivanović qui a élevé ses privilèges à SYSTEM sur Windows 11, gagnant 15 000 $ et 3 points Master of Pwn.

La deuxième journée de Pwn2Own Berlin s'est conclue avec 435 000 $ de prix décernés, portant le montant total des prix du concours à 695 000 $. Les chercheurs ont démontré 20 vulnérabilités zero-day uniques tout au long de la compétition jusqu'à présent. FuzzingLabs a exploité NVIDIA Triton avec une vulnérabilité connue mais non corrigée, ce qui leur a valu une récompense partielle. Viettel Cyber Security a exploité avec succès Microsoft SharePoint en utilisant un contournement d'authentification et une désérialisation non sécurisée. STAR Labs a réalisé une première historique en exploitant VMware ESXi avec un dépassement d'entier. Palo Alto Networks a exploité Mozilla Firefox en utilisant une écriture hors limites. Wiz Research a exploité avec succès Redis, marquant une nouvelle victoire dans la catégorie IA. Qrious Secure a obtenu une victoire complète contre NVIDIA Triton avec une chaîne de quatre bugs. Viettel Cyber Security a également effectué une évasion invité-hôte sur Oracle VirtualBox. STAR Labs a également escaladé les privilèges sur Red Hat Enterprise Linux.

Pwn2Own Berlin 2025 a démarré avec onze tentatives, notamment la première catégorie d'intelligence artificielle. La journée s'est terminée avec 260 000 dollars attribués et STAR Labs prenant une avance précoce. L'équipe de recherche DEVCORE a élevé les privilèges sur Red Hat Linux via un débordement d'entier, gagnant 20 000 dollars. L'équipe Summoning a exploité NVIDIA Triton, mais le bug était connu, résultant en 15 000 dollars. STAR Labs SG a obtenu un accès de niveau SYSTEM sur Windows 11 en utilisant un UAF et un débordement d'entier, remportant 30 000 dollars. Theori a réussi à élever les privilèges jusqu'à la racine sur Red Hat Linux, malgré l'utilisation d'un bug N-day, recevant 15 000 dollars. L'équipe Summoning a remporté la première victoire jamais obtenue dans la catégorie d'intelligence artificielle, gagnant 20 000 dollars. Marcin Wiązowski a élevé les privilèges sur Windows 11 avec une écriture hors limite, gagnant 30 000 dollars. L'équipe Prison Break a échappé à Oracle VirtualBox avec un débordement d'entier, remportant 40 000 dollars. Viettel Cyber Security a exploité NVIDIA Triton, mais le bug était connu, gagnant 15 000 dollars. Out Of Bounds a gagné 15 000 dollars pour une confusion de type d'élévation de privilèges sur Windows 11. STAR Labs a utilisé un UAF dans le noyau de Docker Desktop pour échapper, gagnant 60 000 dollars.

Le premier Pwn2Own Berlin a lieu à la conférence OffensiveCon et présente une nouvelle catégorie d'intelligence artificielle. L'événement a réuni les meilleurs chercheurs en sécurité pour tester la sécurité de divers systèmes. L'horaire de l'événement a été tiré au sort et comprend des cibles telles que le serveur d'inférence NVIDIA Triton, Microsoft Windows 11 et Oracle VirtualBox. Les chercheurs concourront dans des catégories telles que l'IA, l'élévation locale des privilèges, la virtualisation, et plus encore. Les gagnants recevront des prix en espèces et des points de maîtrise de Pwn, avec le prix le plus élevé étant de 150 000 dollars et 15 points de maîtrise de Pwn. L'événement sera suivi en direct et tweeté, avec les résultats publiés sur les plateformes sociales utilisant le hashtag P2OBerlin. L'événement est organisé par Trend Micro, et tous les droits sont réservés. L'horaire comprend 25 tentatives d'exploitation de divers systèmes, avec plusieurs chercheurs ciblant les mêmes systèmes. L'événement vise à tester la sécurité de ces systèmes et à récompenser ceux qui les exploitent avec succès.

Adobe a publié 13 bulletins de sécurité pour mai 2025, traitant de 40 vulnérabilités (CVE) dans des produits tels que Cold Fusion, Lightroom et Photoshop. Aucune de ces vulnérabilités n'est connue publiquement ou exploitée actuellement. Microsoft a publié 75 nouveaux CVE, dont 12 sont considérés comme critiques et les autres comme importants en termes de gravité. Cinq vulnérabilités sont actuellement exploitées dans la nature, notamment une vulnérabilité de corruption de mémoire du moteur de script et une vulnérabilité d'élévation de privilèges du pilote de système de fichiers de journalisation commune Windows. D'autres correctifs notables incluent une vulnérabilité d'élévation de privilèges du pilote de fonction accessoire Windows pour WinSock et une vulnérabilité d'élévation de privilèges de la bibliothèque de base Microsoft DWM. Microsoft a également corrigé plusieurs bugs Office, ce qui pourrait être un indice d'attaques à venir. Les correctifs incluent des mises à jour pour Azure, .NET et d'autres produits. Aucune des vulnérabilités corrigées par Adobe ce mois-ci n'est considérée comme publiquement connue ou exploitée actuellement. Microsoft liste cinq vulnérabilités comme étant exploitées actuellement au moment de la publication, avec deux autres étant connues publiquement.

Une vulnérabilité d'exécution de code a été découverte dans le système d'exploitation macOS d'Apple, plus précisément dans l'utilitaire Scriptable Image Processing System (sips). Cette vulnérabilité est due à un manque de validation adéquate des types de balises "lutAToBType" et "lutBToAType" dans les fichiers de profil ICC. Un attaquant distant peut exploiter cette vulnérabilité en incitant une victime à ouvrir un fichier spécialement conçu, ce qui entraîne l'exécution de code sur la machine de la victime dans le contexte du processus en cours d'exécution. La vulnérabilité réside dans la fonction sub_1000194D0(), qui gère les données des éléments balisés dans les fichiers de profil ICC. La fonction ne valide pas correctement la valeur du champ "Offset to CLUT" (Décalage vers CLUT), permettant à un attaquant de définir un décalage égal à la longueur totale des données de l'élément balisé, ce qui amène la fonction à lire et à modifier la mémoire au-delà de la fin du tampon alloué par le tas. Un attaquant distant peut exploiter cette vulnérabilité en créant un fichier de profil ICC malveillant et en incitant la victime à le traiter à l'aide d'une version vulnérable des outils sips. Pour détecter une attaque exploitant cette vulnérabilité, les dispositifs de détection doivent surveiller et analyser le trafic sur des ports et services spécifiques, et inspecter le contenu des fichiers de profil ICC. Le dispositif de détection doit vérifier le champ de signature du profil, calculer la taille de la table des balises et inspecter les données des éléments balisés à la recherche d'activités suspectes. Apple a corrigé cette vulnérabilité et aucune attaque n'a été détectée en nature. Il est recommandé d'appliquer le correctif du fournisseur pour résoudre complètement ce problème.

Adobe a publié 12 bulletins de sécurité pour résoudre 54 vulnérabilités (CVE) dans divers produits, notamment Cold Fusion, After Effects et Photoshop. Aucune des failles corrigées par Adobe ce mois-ci n'est répertoriée comme étant publiquement connue ou sous attaque active. Microsoft a publié des correctifs pour 134 vulnérabilités (CVE), dont 11 vulnérabilités critiques et 2 vulnérabilités de faible gravité. L'une des failles, CVE-2025-29824, est actuellement exploitée dans la nature et permet à un acteur malveillant d'exécuter du code avec des privilèges SYSTEM. D'autres vulnérabilités notables incluent CVE-2025-26663 et CVE-2025-26670, qui permettent l'exécution de code à distance via LDAP, et CVE-2025-27480 et CVE-2025-27482, qui permettent l'exécution de code via les services de bureau à distance. Microsoft a également publié des correctifs pour divers autres produits, notamment Office, Azure et .NET. Les correctifs résolvent une gamme de vulnérabilités, notamment l'élévation de privilèges, l'exécution de code à distance et la divulgation d'informations. Seule une des failles corrigées par Microsoft ce mois-ci est répertoriée comme étant publiquement connue ou sous attaque active. Il est recommandé de tester et de déployer les correctifs rapidement pour prévenir les attaques potentielles.

Le connecteur de mur Tesla est une station de charge de véhicule électrique de niveau 2 conçue pour une utilisation résidentielle, dotée d'une interface utilisateur minimale et d'une connectivité Wi-Fi pour la configuration et d'un lecteur NFC pour l'authentification des utilisateurs. L'appareil utilise un microcontrôleur ARM MCU ST STM32L431RCT6 avec 256 Ko de mémoire Flash et un module WLAN AzureWave AW-CU300 pour la communication. Le firmware est divisé en deux parties : le chargeur d'amorçage et l'application, cette dernière démarrant à l'offset 0x5000. Le MCU ne gère pas les communications internet, qui sont gérées par le module de communication. L'appareil fournit son propre point d'accès Wi-Fi pour la configuration et la gestion, et il peut être configuré pour se connecter à un réseau Wi-Fi internet. Un scan du réseau a révélé les ports TCP 80 et 34578, et les ports UDP 67 et 5353 ouverts sur l'appareil. L'appareil communique avec les serveurs hermes-prd.sn.tesla.services, wc-maestro-prd.sn.tesla.services et s3-us-west-2.amazonaws.com, utilisant TLS pour les deux premiers et HTTP en clair pour le troisième. Le paquet de mise à jour logicielle a été trouvé chiffré, mais l'algorithme de chiffrement ou la clé n'ont pas été identifiés. Les surfaces d'attaque de l'appareil incluent l'interface Wi-Fi, le lecteur NFC et le trafic réseau.

Le produit SolarWinds Access Rights Manager s'est avéré présenter plusieurs vulnérabilités, dont des vulnérabilités de type exécution de code à distance avant authentification et suppression de fichiers. Un chercheur a découvert 18 vulnérabilités dans le produit, dont des vulnérabilités de suppression de fichiers avant authentification pouvant être utilisées pour élever les privilèges sur les machines Windows rattachées à un domaine. Les vulnérabilités ont été corrigées par le fournisseur avec la mise à jour ARM 2024.3. Le chercheur a découvert que le produit fonctionne à l'aide d'un compte de domaine, qui peut être un compte de service très privilégié ou un compte d'administrateur de domaine. Les vulnérabilités de suppression de fichiers avant authentification peuvent être utilisées pour supprimer des fichiers à distance en tant que compte de domaine très privilégié. Le chercheur a montré comment la vulnérabilité de suppression de fichiers peut être utilisée pour élever les privilèges sur n'importe quelle machine Windows rattachée au domaine. La vulnérabilité peut être exploitée en fournissant un chemin UNC à la méthode File.Delete, ce qui permet à l'attaquant de supprimer des fichiers à distance en tant qu'administrateur. Le chercheur a également montré comment la vulnérabilité peut être utilisée pour élever les privilèges sur une machine n'exécutant pas SolarWinds ARM. L'attaquant peut utiliser la vulnérabilité de suppression de fichiers pour supprimer un fichier d'une machine qu'il contrôle, ce qui lui permet de découvrir le nom du compte SolarWinds ARM AD. Le chercheur a conclu que la vulnérabilité de suppression de fichiers peut avoir un impact significatif sur la sécurité de l'ensemble du domaine Active Directory. La vulnérabilité peut être utilisée pour élever les privilèges sur n'importe quelle machine Windows rattachée au domaine, même celles sur lesquelles SolarWinds ARM n'est pas installé. Le chercheur a recommandé à tous les utilisateurs de SolarWinds ARM de tester et de déployer la mise à jour ARM 2024.3 dès que possible pour corriger les vulnérabilités. Le chercheur a également fourni une démonstration de l'exploit et a encouragé les utilisateurs à les suivre sur les réseaux sociaux pour obtenir les dernières informations sur les techniques d'exploit et les correctifs de sécurité.

En décembre 2024, Microsoft et Adobe ont publié leurs derniers correctifs de l'année, Adobe ayant résolu 167 vulnérabilités (CVE) dans divers produits et Microsoft ayant corrigé 72 vulnérabilités. Les correctifs d'Adobe comprennent des correctifs pour des bogues critiques d'exécution de code dans Experience Manager, Acrobat et Reader, et Media Encoder, entre autres. Les correctifs de Microsoft résolvent des vulnérabilités dans Windows, Office, SharePoint Server, Hyper-V, Defender pour les points de terminaison et System Center Operations Manager. Un bogue notable dans la publication de Microsoft est le CVE-2024-49138, une vulnérabilité d'élévation de privilèges dans le pilote de système de fichiers de journalisation commune de Windows qui est connu publiquement et est l'objet d'une attaque active. Un autre bogue critique est le CVE-2024-49112, qui permet à des attaquants distants non authentifiés d'exploiter les contrôleurs de domaine affectés en envoyant un ensemble spécialement conçu d'appels LDAP.

La WolfBox E40 est une station de recharge de véhicule électrique de niveau 2 conçue pour une utilisation résidentielle, dotée d'une interface utilisateur minimale et d'un lecteur NFC pour l'authentification des utilisateurs. L'appareil utilise une application mobile pour l'installation et l'exploitation. Le micrologiciel pour le MCU GigaDevice et le module de communication a été extrait, montrant l'utilisation de uC/OS II et de mBedTLS version 2.16.4. Le micrologiciel du module de communication semble être partitionné avec des sections chiffrées. L'appareil expose un seul service Bluetooth LE avec trois caractéristiques, et il se connecte à diverses adresses IP AWS pour les mises à jour et la communication. L'appareil garde le port TCP 6668 ouvert pour les connexions Wi-Fi locales, et il utilise un protocole spécifique à Tuya pour les communications locales chiffrées. Les surfaces d'attaque de l'appareil incluent l'application mobile, l'interface Bluetooth LE et le trafic réseau.

Le Kenwood DMX958XR est une unité de tête de système d'information et de divertissement embarqué (IVI) qui prend en charge diverses technologies, notamment USB, Bluetooth, Android Auto, Apple CarPlay et les applications Kenwood. Ce billet de blog vise à définir la surface d'attaque du DMX958XR pour inspirer la recherche de vulnérabilités. Le port USB-C de l'unité de tête prend en charge Android Auto et Apple CarPlay filaires, et permet également la lecture de fichiers audio et vidéo à partir d'une clé USB. La version 5 de Bluetooth est prise en charge pour passer et recevoir des appels, et pour lire de l'audio à partir d'un téléphone mobile apparié. L'unité de tête utilise divers logiciels open-source, notamment OpenSSL, Cairo et Gstreamer. L'application Kenwood Portal permet aux utilisateurs de transférer des photos de leur téléphone mobile vers l'unité de tête via Bluetooth, ce qui pourrait être une surface d'attaque intéressante. L'application Kenwood Remote S se connecte à l'unité de tête via Bluetooth et permet le contrôle multimédia. Le firmware du DMX958XR sera couvert dans un futur billet de blog. Le prochain billet de la série détaillera le firmware du DMX958XR.

Le Kenwood DMX958XR est une unité de tête de divertissement en véhicule (IVI) compact qui offre diverses fonctionnalités telles que Android Auto, Apple CarPlay et lecture de médias USB. Il se compose de plusieurs cartes interconnectées, avec les composants les plus intéressants situés sur le dessus et le dessous de la carte mère. La carte mère comprend un processeur de traitement vidéo, un gestionnaire de puissance (PMIC), une mémoire flash NAND, et deux mémoires SDRAM DDR3 sur le côté supérieur, tandis que le côté inférieur abrite un module radio Murata, un SoC Telechips TCC8974, une mémoire SDRAM et une mémoire eMMC. Le SoC Telechips TCC8974 est un cœur ARM 32 bits qui prend en charge l'exécution d'Android, Linux et QNX, et dispose de capacités d'accélération matérielle multimédia. Les autres cartes de l'unité servent à des fonctions telles que la navigation GPS, le traitement audio et les opérations de caméra. Une interface de débogage cachée sur la carte mère expose un prompt de connexion Linux via UART à 115200bps, permettant de lancer un shell racine avec les bonnes informations d'identification. Le DMX958XR est l'un des cibles du prochain concours Pwn2Own Automotive, qui vise à tester la sécurité des systèmes IVI. Le concours aura lieu en janvier 2025 à la conférence Automotive World à Tokyo.

Adobe et Microsoft ont publié leurs mises à jour régulières prévues pour novembre 2024. Adobe a publié huit correctifs pour résoudre 48 vulnérabilités CVE dans divers produits, notamment Adobe Bridge, Audition, After Effects et Photoshop. Le plus grand correctif concerne Substance 3D Painter avec 22 vulnérabilités critiques et importantes. Aucune des failles corrigées par Adobe ce mois-ci n'est répertoriée comme étant publiquement connue ou sous attaque active au moment de la publication. Microsoft a publié 89 nouvelles vulnérabilités CVE dans Windows et ses composants, Office et ses composants, Azure et d'autres produits. Quatre des correctifs sont classés comme critiques, 84 sont classés comme importants et un est classé comme modéré en termes de gravité. Microsoft répertorie trois de ces vulnérabilités comme étant publiquement connues, mais il est signalé que cinq sont en réalité publiquement connues. Deux vulnérabilités CVE sont répertoriées comme étant exploitées dans la nature au moment de la publication. Les vulnérabilités CVE exploitées dans la nature incluent une vulnérabilité de divulgation de hachage NTLM et une vulnérabilité d'élévation de privilèges de planificateur de tâches Windows. D'autres vulnérabilités notables incluent une vulnérabilité d'exécution de code à distance Kerberos Windows, qui permet à un attaquant distant non authentifié d'exécuter du code sur un système affecté, et une vulnérabilité d'exécution de code à distance .NET et Visual Studio, qui permet aux attaquants d'exécuter du code en envoyant une demande spécialement conçue à une application web .NET affectée. Microsoft a également publié des correctifs pour divers autres produits, notamment Azure, SQL Server et Visual Studio. L'entreprise a résolu un total de 949 vulnérabilités CVE jusqu'à présent cette année, ce qui fait de 2024 sa deuxième année la plus importante en termes de correctifs. Il est conseillé aux utilisateurs de tester et de déployer les mises à jour dès que possible pour se protéger contre les attaques potentielles.

Les chercheurs ont découvert plusieurs vulnérabilités dans le système de connectivité Master Unit (CMU) de Mazda Connect, affectant des modèles tels que la Mazda 3 de 2014 à 2021. Ces vulnérabilités sont causées par une désinfection insuffisante lors de la manipulation des entrées utilisateur. Un attaquant peut exploiter ces vulnérabilités en connectant un périphérique USB spécialement conçu, comme un iPod, au système cible. Les vulnérabilités incluent l'injection de requêtes SQL, l'injection de commandes et l'absence de racine de confiance matérielle.

Le dernier jour de Pwn2Own Irlande s'est conclu avec un total de 993 625 dollars attribués, et il est probable que le seuil de 1 000 000 dollars sera dépassé. L'équipe Smoking Barrels a réussi à exploiter le True NAS X en utilisant deux bugs déjà vus, gagnant 20 000 dollars et 2 points de Maître du Pwn. L'équipe Cluck, composée de Chris Anastasio et Fabius Watson, a utilisé six bugs pour exploiter le QNAP QHora-322 et le Lexmark CX331adwe, mais l'un des bugs avait déjà été vu, ce qui a valu une récompense de 23 000 dollars et 9,25 points de Maître du Pwn. La collision de bugs a porté le montant total des récompenses au-delà de 1 000 000 dollars.

Le concours Pwn2Own Ireland a déjà attribué 874 875 dollars et compte encore 15 tentatives restantes, avec la possibilité d'atteindre le seuil de 1 000 000 dollars. Ha The Long et Ha Anh Hoang ont réussi à exploiter le NAS QNAP TS-464 en utilisant une seule vulnérabilité d'injection de commande, gagnant 10 000 dollars et 4 points de Maître de Pwn. Pumpkin Chang et Orange Tsai de l'équipe de recherche DEVCORE ont également réussi en exploitant la station BeeStation de Synology avec une combinaison de bugs, gagnant 20 000 dollars et 4 points de Maître de Pwn. Pendant ce temps, Sina Kheirkhah et Enrique Castillo de l'équipe Summoning n'ont pas réussi à exploiter le AI Bullet d'Ubiquiti dans le temps imparti.

Pwn2Own Irlande 2024 est en plein essor, avec plus de 516 250 dollars attribués pour 50 bogues 0-day uniques découverts hier. Aujourd'hui, la compétition se poursuit avec des tentatives sur divers appareils, notamment des téléphones, des appareils photo, des imprimantes et des enceintes intelligentes. Des mises à jour en temps réel seront fournies à mesure que les résultats seront disponibles. Pham Tuan Son et ExLuck de ANHTUD ont réussi à exploiter une imprimante Canon imageCLASS MF656Cdw en utilisant un débordement de pile, leur valant 10 000 dollars et 2 points Master of Pwn. Ken Gannon de NCC Group a réussi à exploiter un Samsung Galaxy S24 en exploitant cinq bogues, dont une traversée de chemin, lui valant 50 000 dollars et 5 points Master of Pwn. dungdm de Viettel Cyber Security a réussi à exploiter le Sonos Era 300 en utilisant un bogue Use-After-Free, lui valant 30 000 dollars et 6 points Master of Pwn. La compétition est en cours, avec d'autres tentatives prévues tout au long de la journée.

Pwn2Own Irlande 2024 a commencé, avec quatre jours de recherche et de multiples tentatives pour exploiter des appareils SOHO. Le premier jour a vu une tentative réussie de phudq et namnp de Viettel Cyber Security, qui ont exploité la caméra WiFi Lorex 2K en utilisant un débordement de buffer basé sur la pile et une référence de pointeur non fiable, gagnant 30 000 dollars et 3 points de Maître de Pwn. En revanche, la tentative de Can Acar pour exploiter la caméra Synology TC500 a échoué en raison de contraintes de temps. L'événement se poursuivra avec un emploi du temps complet de tentatives, avec des mises à jour en temps réel.

Pwn2Own Irlande 2024 promet d'être l'un des événements les plus grands jamais organisés, avec plus de 1 000 000 de dollars en prix potentiels. Le concours a commencé avec un tirage au sort pour déterminer l'ordre des tentatives. Le Jour Un comprendra diverses équipes ciblant différents appareils tels que des enceintes intelligentes, des imprimantes et des systèmes de surveillance. Le Jour Deux verra les équipes cibler les systèmes de stockage en réseau et les imprimantes. Le Jour Trois se concentrera sur la surveillance et le stockage en réseau à nouveau. Le Jour Quatre clôturera le concours avec les équipes ciblant le stockage en réseau et les imprimantes. Les résultats seront publiés en direct sur le blog au fur et à mesure que le concours se déroulera, et les vidéos en vedette seront postées sur les réseaux sociaux.

Adobe et Microsoft ont publié leurs derniers correctifs de sécurité pour octobre 2024. Adobe a publié neuf correctifs pour résoudre 52 vulnérabilités (CVE) dans divers produits, notamment Adobe Commerce, Dimension, Animate et FrameMaker. Deux de ces vulnérabilités ont été soumises par le programme ZDI, et aucune des vulnérabilités corrigées par Adobe ce mois-ci n'est répertoriée comme étant publiquement connue ou sous attaque active. Microsoft a publié 117 nouvelles vulnérabilités (CVE) dans Windows et ses composants, Office et ses composants, Azure, .NET et Visual Studio, ainsi que dans d'autres produits. L'une de ces vulnérabilités a été signalée par le programme ZDI, et cinq CVE sont répertoriées comme étant publiquement connues, dont deux sont répertoriées comme étant sous attaque active. Certaines des vulnérabilités notables incluent une vulnérabilité de contournement de la plateforme MSHTML de Windows, une vulnérabilité d'exécution de code à distance de la console de gestion Microsoft et une vulnérabilité d'exécution de code à distance du gestionnaire de configuration Microsoft. Ces vulnérabilités sont classées comme modérées ou critiques et pourraient permettre à des attaquants distants non authentifiés d'exécuter du code arbitraire ou d'obtenir des privilèges élevés. Microsoft a également publié des correctifs pour divers autres produits, notamment Azure, .NET et Visual Studio, pour résoudre des vulnérabilités telles que l'exécution de code à distance, le refus de service et l'élévation de privilèges. Les correctifs incluent également des corrections pour des CVE de tiers, portant le nombre total de CVE résolues à 121. Il est essentiel d'appliquer ces correctifs dès que possible pour prévenir les attaques et les exploits potentiels. Les utilisateurs doivent donner la priorité au test et au déploiement des mises à jour rapidement, en particulier pour les vulnérabilités répertoriées comme étant sous attaque active.

L'article traite d'une chaîne de trois vulnérabilités qui ont conduit à l'exécution de code à distance dans Exchange, y compris une écriture de fichier arbitraire, une lecture et des vulnérabilités de chargement de DLL locales. L'auteur a trouvé un gadget dans la classe Microsoft.Exchange.DxStore.Common.DxSerializationUtil+SharedTypeResolver, qui charge une DLL à partir d'un emplacement contrôlé par l'attaquant. Cependant, le gadget est limité par plusieurs restrictions, telles que des vérifications d'extension de fichier, la suppression du fichier après extraction, et la nécessité de prévoir le chemin d'extraction. L'auteur a contourné ces restrictions en utilisant l'injection d'arguments dans l'utilitaire expand, en créant un sous-répertoire pour le fichier malveillant, et en fuyant le GUID à partir d'un fichier de log. La charge utile finale a impliqué la livraison de trois fichiers CAB, y compris un pour FUSE.Paxos.dll, un pour Ijwhost.dll, et un contenant un fichier corrompu pour fuir le GUID. L'auteur a également préparé une structure de partage SMB astucieuse pour passer la vérification File.Exists.

Dans Exchange Server, CVE-2023-36756 permet aux attaquants authentifiés d'exécuter du code à distance en désérialisant un objet ApprovedApplicationCollection malveillant. Le constructeur ApprovedApplicationCollection permet à un attaquant de spécifier un chemin UNC vers un fichier CAB, qui est ensuite extrait à l'aide de l'utilitaire extrac32.exe. Extrac32.exe contient une vulnérabilité de parcours de chemin non corrigée (ZDI-CAN-21499) qui permet aux attaquants d'extraire des fichiers à des emplacements arbitraires. En combinant ces vulnérabilités, les attaquants peuvent extraire un fichier CAB malveillant contenant une coquille web ASPX à un emplacement spécifique sur le serveur Exchange. Microsoft a refusé de corriger la vulnérabilité de parcours de chemin dans extrac32.exe, affirmant qu'il est de la responsabilité de l'appelant d'assurer son utilisation sécurisée. La charge utile se compose d'un fichier CAB avec une coquille web nommée ../../../../../../../../inetpub/wwwroot/poc.aspx. L'attaque nécessite d'héberger le fichier CAB sur une partage SMB dans le domaine. En exploitant ces vulnérabilités, les attaquants peuvent accéder à la coquille web et exécuter du code à distance. Un démo est disponible pour montrer tout le processus d'exploitation. Le prochain article de blog de la série couvrira CVE-2023-36745, une vulnérabilité RCE complexe qui a nécessité une chaîne d'exploits élaborée.

En septembre 2024, les patches de sécurité d'Adobe ont publié huit bulletins pour 28 CVEs dans divers logiciels, y compris un patch critique pour ColdFusion avec un score CVSS de 9,8. Microsoft a publié des patches pour 79 CVEs dans divers produits, y compris sept vulnérabilités évaluées comme Critiques. Quatre des CVEs de Microsoft ont été signalées via ZDI. Les patches de Microsoft traitent des bugs qui sont actuellement exploités, y compris CVE-2024-43491, qui permet l'exécution de code à distance en raison d'une attaque de downgrade, et CVE-2024-38226, qui permet de contourner les fonctionnalités de sécurité dans Microsoft Publisher. Un autre CVE notable, CVE-2024-38014, entraîne une élévation de privilèges dans Windows Installer. Les patches d'Adobe comprennent des corrections pour des bugs critiques dans Photoshop, Illustrator et Media Encoder. Aucun des bugs d'Adobe n'est signalé comme étant publiquement connu ou sous attaque active. Microsoft liste CVE-2024-43461 comme étant sous attaque, bien que ZDI le signale comme étant activement exploité. Ce bug permet la falsification sur la plateforme MSHTML. Dans l'ensemble, les patches d'Adobe sont évalués comme ayant une priorité de déploiement de 3, tandis que les patches de Microsoft varient en gravité de Modéré à Critique.

L'article traite du discours de l'auteur à la conférence OffensiveCon 2024, en mettant l'accent sur la classe MultiValuedProperty et son rôle dans l'exploitation de la remise PowerShell de Microsoft Exchange. L'auteur explique comment MultiValuedProperty peut être abusé pour appeler la méthode Parse, menant à la désérialisation XAML et à une exécution de code à distance potentielle. L'auteur présente également une contournement pour le premier correctif de Microsoft pour cette vulnérabilité en enchaînant MultiValuedProperty avec la classe Command. Ce contournement permet à un attaquant d'exécuter des commandes arbitraires sur le serveur Exchange. L'article souligne l'importance de passer en revue avec soin les listes d'autorisation et de vérifier l'héritage des classes pour prévenir de telles vulnérabilités.

En mars 2021, le chercheur Abdelhamid Naceri a signalé une vulnérabilité dans le service de profil utilisateur qui permettait la suppression d'un fichier arbitraire en tant que SYSTEM. Cette vulnérabilité peut être exploitée pour acquérir des privilèges SYSTEM en exploitant le service d'installation de Windows. La technique d'exploitation implique la création d'un dossier factice C:\Config.Msi, la mise en place d'un verrouillage, la déclenchement de la vulnérabilité de suppression de dossier, puis le remplacement du dossier par une version malveillante contenant des scripts de restauration. Le service d'installation de Windows installera ensuite un fichier .msi avec des actions personnalisées, ce qui déclenchera une restauration et laissera tomber un DLL malveillant. L'exploit peut également être adapté pour être utilisé avec des primitives de suppression de fichiers en supprimant le flux d'allocation d'index d'un dossier, et pour des primitives de suppression de contenu de dossier en supprimant le contenu d'un dossier accessible à l'écriture par l'attaquant.

VMware vCenter Server, une application de serveur de gestion de centre de données développée par VMware Inc., présente une vulnérabilité d'underflow d'entier en raison d'un manque de validation de la taille de l'en-tête de réponse calculée utilisée dans la soustraction. Cette vulnérabilité peut être exploitée en envoyant un paquet DCERPC conçu à destination du serveur cible, provoquant un débordement de tampon de heap et potentiellement l'exécution de code arbitraire dans le contexte du service vulnérable. La vulnérabilité est déclenchée par deux types de paquets de demande : Acknowledgement de Liaison et Réponse de Changement de Contexte. Pour exploiter cette vulnérabilité, la longueur d'authentification de la demande ne doit pas être nulle, le trailer d'authentification ne doit pas dépasser le début ou la fin du paquet, et le type d'authentification sélectionné doit être pris en charge par le runtime. La vulnérabilité peut être démontrée en utilisant le mécanisme SPNEGO SRP. Le nombre d'éléments de la liste de contextes de présentation menant à un débordement de heap est strictement de 169.

Deux vulnérabilités dans le firmware Autel Maxicharger (v1.32) ont été divulguées par les chercheurs de Synacktiv au Pwn2Own Automotive 2024 : une exécution de code à distance via Bluetooth et une backdoor Wi-Fi. Autel a répondu avec une mise à jour du firmware v1.35 avant la divulgation publique. La première vulnérabilité impliquait une overflow de buffer en raison d'une longueur de message client non restreinte dans la fonction de contrôle de charge Bluetooth, qui a été corrigée en ajoutant une vérification de longueur. La deuxième vulnérabilité exploitait une backdoor dans la fonction d'authentification Wi-Fi avec des informations d'identification en dur, qui a été supprimée dans v1.35. Les deux vulnérabilités ont été identifiées grâce à l'ingénierie inverse utilisant Ghidra et en comparant les versions de firmware. La réaction rapide d'Autel pour corriger ces vulnérabilités démontre son engagement en faveur de la sécurité. La sécurité des chargeurs de véhicules électriques est cruciale alors qu'ils deviennent largement déployés, et le Pwn2Own Automotive 2025 évaluera les améliorations des vendeurs.

Les chercheurs en menaces de l'initiative Zero Day ont découvert une vulnérabilité, CVE-2024-38213, qui permet de contourner les protections de marque du web de Windows, entraînant l'exécution de code à distance. Cette vulnérabilité a été trouvée lors d'une enquête sur les activités des opérateurs de DarkGate. Les partages WebDAV sont de plus en plus utilisés par les acteurs de la menace pour héberger des charges utiles malveillantes. Les fichiers accédés via des partages WebDAV avec l'Explorateur Windows ne reçoivent pas la désignation de Marque du Web, ce qui les rend dangereux car ils peuvent être ouverts sans les protections de l'écran de défense intelligent de Windows Defender ou de la Vue protégée de Microsoft Office. L'équipe de chasse aux menaces ZDI surveille constamment les nouvelles menaces et intègre la recherche de menaces avec la recherche de vulnérabilités proactive pour protéger les clients contre les attaques potentielles.

Mises à jour de sécurité Adobe pour août 2024 - Adobe a publié des patches pour 11 bulletins de sécurité, traitant de 71 CVEs dans divers logiciels, y compris Acrobat, Photoshop et Illustrator. - La mise à jour pour Adobe Commerce inclut plusieurs corrections pour des bugs d'exécution de code critique. - Aucune des vulnérabilités n'est connue pour être activement exploitée ou publiquement connue. Mises à jour de sécurité Microsoft pour août 2024 - Microsoft a publié 90 nouveaux CVEs dans divers produits, avec quatre signalés via le programme ZDI. - Parmi les 102 CVEs au total, sept sont évalués comme critiques, 79 comme importants et un comme modéré en termes de gravité. - Quatre des vulnérabilités, y compris CVE-2024-38178, sont sous exploitation active et ont des preuves de concept publics disponibles. - Le patch pour Windows 11 v24H2 inclut également une correction pour la vulnérabilité exploitée CVE-2024-38178. - CVE-2024-38189 marque une rare vulnérabilité d'exécution de code dans Microsoft Project, qui est activement exploitée et nécessite que les macros soient activées. Notes supplémentaires - Microsoft a également publié des patches pour des vulnérabilités tierces dans le grub2 et le Shim de Redhat. - Adobe classe ces mises à jour avec un rating de priorité de déploiement de 3.

L'initiative Zero Day de Trend Micro (ZDI) décernera ses premiers prix Vanguard lors de Black Hat USA pour reconnaître les chercheurs et les vendeurs exceptionnels. Les prix de recherche honorent des contributions exceptionnelles dans cinq catégories, y compris la Meilleure Utilisation de l'Enclos RF et les Soumissions les Plus Approfondies. Les prix des vendeurs reconnaissent l'excellence dans cinq domaines, tels que les Meilleurs Avis de Sécurité et le Vendeur le Plus Amélioré. Ces prix visent à mettre en valeur le travail positif souvent négligé dans la communauté de la cybersécurité. ZDI remettra les prix en personne et partagera des messages vidéo des lauréats qui ne pourront pas être présents. La cérémonie aura lieu au stand de Trend Micro sur le parc des exposants à midi heure locale. Les catégories de prix pourraient changer chaque année pour refléter les menaces évoluant ou les individus ou les initiatives méritants. L'objectif de ZDI est de reconnaître et de célébrer les contributions précieuses qui améliorent la cybersécurité et protègent contre les menaces réelles.

Ce blog présente une technique pour convertir un primitif de suppression arbitraire au démarrage en un primitif à la demande. Il s'agit de supprimer le fichier SA.DAT de C:\Windows\Tasks, de créer une jonction à sa place et de rediriger la suppression d'un fichier .job vers C:\Config.Msi::$INDEX_ALLOCATION. Pour faciliter le débogage des processus protégés, un outil a été créé pour lancer des processus comme des processus protégés, permettant une inspection détaillée avec Procmon et WinDbg. Lors des divulgations, les auteurs ont rencontré des difficultés avec Intel Corporation qui a rejeté un rapport de vulnérabilité en raison d'une interprétation étroite de leur programme de récompense pour les bogues, malgré la fourniture de justifications détaillées pour la réparation. PaperCut a été critiqué pour minimiser la gravité des vulnérabilités dans les advisories publiques, ce qui pourrait tromper les utilisateurs sur les risques et ne pas aborder adéquatement ces derniers dans leur posture de sécurité. Les recherches ont abouti à la divulgation de plusieurs vulnérabilités qui ont été corrigées : CVE-2024-3037, CVE-2024-4454, CVE-2024-2003, CVE-2024-0353 et CVE-2024-3037. Cependant, 14 vulnérabilités restent non corrigées et sont publiées comme vulnérabilités zero-day : ZDI-CAN-22238, ZDI-CAN-22260, ZDI-CAN-22272, ZDI-CAN-22803 et ZDI-CAN-22804.

Ce document détaille comment les flux de données alternatifs NTFS (ADS) peuvent être exploités pour contourner les hypothèses de sécurité et atteindre l'élévation de privilèges. La technique, découverte par le chercheur Abdelhamid Naceri, exploite le fait que les répertoires avec ADS sont considérés comme vides, permettant la création de jonctions NTFS même après que le programme a vérifié si le répertoire est vide. Cette technique est illustrée à travers deux vulnérabilités : CVE-2024-0353 dans les produits de sécurité ESET et CVE-2024-7238 dans VIPRE Advanced Security. Les deux vulnérabilités impliquent des fonctionnalités de protection en temps réel qui suppriment les fichiers malveillants détectés. L'exploit consiste à créer un ADS contenant une chaîne de test EICAR et à surveiller les modifications des attributs de fichier ou des timestamps. Lorsqu'une modification est détectée, signalant une suppression imminente, une jonction NTFS est créée, pointant vers le fichier cible que l'attaquant souhaite supprimer. L'exploit réussit car ESET et VIPRE ne prennent pas les précautions nécessaires lors de l'ouverture des fichiers pour suppression, comme vérifier la présence de points de reparse ou mettre en œuvre correctement l'impersonnalisation. Cela permet aux attaquants de rediriger l'opération de suppression vers des fichiers arbitraires, y compris des fichiers critiques pour le système, menant à une élévation de privilèges. Le document souligne que plusieurs vendeurs et produits pourraient être vulnérables à cette technique en raison d'un manque de tests et exhorte ces derniers à offrir des essais gratuits pour la recherche en sécurité. Il met également en évidence l'importance de la mise en œuvre appropriée de l'impersonnalisation pour prévenir de telles vulnérabilités. Les auteurs exhortent les défenseurs à évaluer leurs produits pour ces faiblesses potentielles et les vendeurs à prioriser les tests de sécurité et les pratiques de divulgation responsable. Cette analyse détaillée de la technique d'exploitation ADS constitue un avertissement et un appel à l'action pour la communauté de la cybersécurité.

Au fil des ans, il y a eu une augmentation significative du nombre de vulnérabilités de suivi de lien soumises au programme ZDI. Ces vulnérabilités impliquent souvent l'exploitation programmée de conditions de course et sont trouvées dans des applications qui s'exécutent avec des privilèges élevés et effectuent des opérations de fichiers. Pour trouver ces vulnérabilités, les chercheurs identifient les opérations de fichiers qui créent, modifient ou suppriment des fichiers dans des emplacements accessibles aux utilisateurs standard, puis vérifient l'absence de vérifications pour les liens créés par les utilisateurs. Plusieurs stratégies mises en œuvre par les développeurs pour prévenir le suivi des liens incluent l'utilisation du drapeau FILE_FLAG_OPEN_REPARSE_POINT, la vérification d'un tag de reparse, l'utilisation de fichiers protégés et cachés, et l'impersonnalisation. Cependant, toutes ces méthodes ne sont pas efficaces. Une technique prometteuse consistait à exploiter l'impersonnalisation incorrecte, mais une mitigation de Microsoft de septembre 2023 (ObpUseSystemDeviceMap) limite cette technique aux recherches de fichiers sur le disque système. Les vulnérabilités dans les produits AVG et Avast démontrent des bugs d'élévation de privilège par suivi de lien avec des vérifications manquantes. Dans un cas, une condition de service refusé pourrait être créée en exploitant l'absence de prévention du suivi de lien pendant la création d'un répertoire. Dans un autre cas, une élévation de privilège locale pourrait être atteinte en exploitant une condition de course pendant la reconstruction du chemin de fichier après restauration d'un fichier de quarantaine. Ces vulnérabilités soulignent l'importance de prévenir correctement le suivi des liens dans les applications qui effectuent des opérations de fichiers avec des privilèges élevés.

Le ZDI de Trend Micro a publié plusieurs advisories mettant en évidence des vulnérabilités dans le dispositif de communication Deep Sea Electronics DSE855. Le dispositif permet la surveillance via une connexion USB et manque de mesures d'authentification de base, ce qui entraîne la divulgation de la sauvegarde de la configuration. Deux gestionnaires supplémentaires non authentifiés permettent aux attaquants de redémarrer ou de réinitialiser le dispositif à ses paramètres d'usine. Le fuzzing du dispositif a révélé une overflow de pile dans la gestion des valeurs de limite dans les requêtes multipart, ce qui pourrait entraîner l'exécution de code arbitraire. Un autre overflow de buffer a été identifié dans la gestion des valeurs dans les requêtes multipart, permettant aux attaquants de modifier la mémoire et potentiellement d'exécuter du code arbitraire. Une erreur logique dans la gestion des valeurs de limite a entraîné une boucle infinie et une déni de service. Malgré la notification des vulnérabilités à Deep Sea Electronics en janvier, aucun correctif n'a été publié dans le délai standard de 120 jours du ZDI, ce qui a conduit à la publication d'advisories 0-day en juin. Le logiciel du dispositif est basé sur le middleware embOS/IP de Segger, qui n'avait apparemment pas de mécanisme d'authentification pour les fonctions critiques. Le système embarqué manquait de mécanismes de mitigation d'exploitation tels que le bit NX ou la randomisation de la mise en page, le rendant vulnérable à l'exploitation. Le ZDI souligne l'importance de la divulgation responsable des vulnérabilités et encourage les vendeurs à mettre en place des processus de gestion des incidents appropriés.

Le concours de hacking Pwn2Own se déplace à Cork, en Irlande, du 22 au 25 octobre 2024, et présentera de nouveaux cibles et catégories. Meta rejoint en tant que sponsor, ajoutant WhatsApp à la nouvelle catégorie d'application Messenger avec un prix principal de 300 000 $ pour une exploitation zero-click. Cette année, la compétition introduit des appareils intelligents de Samsung, Google, Synology et Ubiquiti, ajoutant une couche de complexité pour les concurrents. La populaire catégorie SOHO Smashup revient, défiant les participants à exploiter un routeur et à pivoter vers un autre appareil du réseau. Les systèmes de surveillance, y compris les caméras filaires et sans fil, font également leur retour, promettant des exploits passionnants. D'autres catégories comprennent les hubs d'automatisation domestique, les imprimantes, les enceintes intelligentes et les appareils NAS, chacune avec une gamme de cibles et d'argent de prix. La compétition aura lieu à la célèbre Cork City Goal, promettant une atmosphère unique. Les inscriptions sont ouvertes jusqu'au 17 octobre 2024, et les participants sont encouragés à consulter les règles et les lignes directrices mises à jour. L'événement sera couvert en direct sur le blog et Twitter de Zero Day Initiative, offrant des mises à jour en temps réel sur le progrès de la compétition. Trend Micro exprime sa gratitude à Meta, Synology et QNAP pour leur partenariat et leur soutien pour rendre possible Pwn2Own Ireland 2024.

Microsoft a publié un correctif pour CVE-2024-38112, qui était exploité dans la nature. L'initiative Zero Day de Trend Micro (ZDI) a signalé l'exploit à Microsoft en mai, mais cela n'a pas été reconnu dans la sortie du correctif. Cela met en évidence le manque de transparence et de coordination dans la divulgation de vulnérabilité coordonnée (CVD). Les chercheurs rencontrent souvent des problèmes de communication lorsqu'ils signalent des bugs, comme ne pas recevoir de confirmation ou de reconnaissance des vendeurs. L'initiative Secure Future de Microsoft n'a pas abouti à une transparence accrue. Les vendeurs doivent prendre des mesures pour gagner la confiance des chercheurs, comme fournir des communications claires, des reconnaissances appropriées et des informations précises sur les correctifs. ZDI aide les chercheurs à gérer les communications avec les vendeurs, mais des disputes sur la gravité des réparations et les évaluations CVSS peuvent encore surgir. Les chercheurs pourraient recourir à la divulgation publique si ils estiment que leurs rapports ne sont pas traités de manière adéquate. Malgré le concept de CVD, de nombreux vendeurs n'embrassent pas pleinement la responsabilité de coordonner avec les chercheurs. Le Cyber Safety Review Board et ProPublica ont mis en évidence les échecs de communication de Microsoft, soulignant la nécessité d'une responsabilité dans l'industrie. Les prix Vanguard de ZDI reconnaîtront les vendeurs qui démontrent l'excellence dans la CVD. Le manque de coordination dans la CVD n'affecte pas seulement les relations vendeur-chercheur, mais également la capacité des utilisateurs finaux à évaluer le risque et à faire confiance aux correctifs de sécurité.

Microsoft et Adobe ont publié leurs mises à jour de sécurité régulières pour juillet 2024, avec Adobe qui corrige sept CVE dans Adobe Premiere Pro, InDesign et Adobe Bridge, tandis que Microsoft traite de 139 CVE dans divers produits. Deux des CVE de Microsoft sont connus publiquement et deux sont sous attaque active. Les vulnérabilités les plus critiques incluent une élévation de privilèges Hyper-V, une usurpation de plateforme MSHTML, et plusieurs exécutions de code à distance pour le service de licence de bureau à distance. D'autres corrections notables comprennent une élévation de privilèges PowerShell, une exécution de code à distance pour le serveur SharePoint, et une divulgation d'informations pour la bibliothèque de codecs Windows.

- ZDI a acquis plusieurs vulnérabilités dans la plateforme Logsign Unified SecOps de Mehmet INCE. - CVE-2024-5716 permet de contourner l'authentification en forçant le code de réinitialisation du mot de passe pour l'utilisateur "admin". - Cette vulnérabilité provient d'un manque de limitation de taux pour les demandes de réinitialisation du mot de passe. - CVE-2024-5717 permet d'exécuter des commandes après authentification en raison d'une validation incorrecte des entrées utilisateur pour les appels système. - La vulnérabilité d'injection de commandes peut être exploitée en utilisant des backticks. - Malgré le fait qu'elle soit post-authentification, CVE-2024-5717 peut être combinée avec CVE-2024-5716 pour obtenir une exécution de code à distance non authentifiée. - Un exploit combinant les deux vulnérabilités peut être utilisé pour obtenir un shell inverse. - Logsign a corrigé ces vulnérabilités avec la version 6.4.8. - La vulnérabilité de contournement d'authentification met en évidence les risques d'implémenter des mécanismes d'authentification personnalisés. - Les vendeurs devraient auditer régulièrement leurs logiciels pour résoudre les vulnérabilités potentielles. - Restez vigilant et ne soyez pas complaisant avec l'authentification comme seule mesure de défense.