RadioCSIRT - Edition Française

📡 Selon Recorded Future News, le Royaume-Uni allège les mesures de sécurité prévues pour ses réseaux télécoms face à la campagne chinoise Salt Typhoon, après le lobbying des opérateurs sur les coûts. Sont abandonnés ou repoussés la détection d'intrusion indépendante sur la signalisation, le traitement de la signalisation entrante comme non fiable, et le redémarrage mensuel des équipements. La sécurisation des comptes de service glisse de fin 2028 à fin 2029. Le code allégé entre en vigueur mi-juillet sauf opposition du Parlement.
🪟 Selon BleepingComputer, Microsoft corrige à son Patch Tuesday de juin trois zero-days divulgués par le chercheur Nightmare Eclipse. GreenPlasma et MiniPlasma, référencés CVE-2026-45586 et CVE-2020-17103, offrent un shell SYSTEM sur Windows pourtant à jour, via CTFMON et le Cloud Files Mini Filter Driver. YellowKey, référencé CVE-2026-45585, agit comme une backdoor dans WinRE et permet, avec accès physique, de contourner BitLocker sur Windows 11 et Server 2022/2025 non corrigés.
🐛 Quelques heures après les correctifs, Nightmare Eclipse divulgue un nouveau zero-day Defender, RoguePlanet, ouvrant une invite SYSTEM. D'abord une exécution de code à distance via un fichier .vhd(x) sur partage SMB, la faille a été partiellement neutralisée par un correctif Defender de mi-mai. Le chercheur, déjà à l'origine de BlueHammer, CVE-2026-33825, et de RedSun désormais exploités, indique renoncer à la divulgation massive évoquée pour le 14 juillet.
🚨 La CISA ajoute le 8 juin deux vulnérabilités activement exploitées à son catalogue KEV : CVE-2026-42271, une injection de commande dans BerriAI LiteLLM, et CVE-2026-50751, un défaut d'authentification dans Check Point Security Gateway. La directive BOD 22-01 impose leur remédiation aux agences fédérales américaines.
📌 La CISA ajoute le 9 juin trois autres failles exploitées : CVE-2026-7473 dans Arista EOS, CVE-2026-11645 dans le moteur V8 de Google Chromium, et CVE-2026-20245 dans Cisco Catalyst SD-WAN Manager. Toutes relèvent de la BOD 22-01 pour les agences fédérales civiles.
🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0725 sur de multiples vulnérabilités Fortinet permettant une exécution de code à distance et une atteinte à la confidentialité. Sont visés FortiOS, FortiProxy, FortiPortal et FortiSandbox, via les CVE-2025-67862, CVE-2026-25089 et CVE-2026-49938.
🖥️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0716 sur une élévation de privilèges dans FreeBSD, référencée CVE-2026-49413. Les branches 14, 14.3, 14.4, 15, 15.0 et 15.1 sont concernées, en deçà des révisions correctives du projet.
🔐 Le CERT-FR publie l'avis CERTFR-2026-AVI-0717 sur de multiples vulnérabilités OpenSSL, dont des exécutions de code à distance et des dénis de service. Dix-sept CVE sont recensées, de CVE-2026-34180 à CVE-2026-34183 et CVE-2026-42764 à CVE-2026-42771, touchant les branches 1.0.x à 4.x.
Sources :
UK weakens proposed telecoms defenses against Chinese hackers after industry pushback — The Record (Recorded Future News) : https://therecord.media/uk-weakens-telecoms-defenses-after-industry-lobbying
Microsoft patches YellowKey, GreenPlasma, MiniPlasma zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/
RoguePlanet, nouveau zero-day Defender divulgué par Nightmare Eclipse — couverture BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/
CISA Adds Two Known Exploited Vulnerabilities to Catalog (08/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalog
CISA Adds Three Known Exploited Vulnerabilities to Catalog (09/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalog
CERTFR-2026-AVI-0725 Multiples vulnérabilités dans les produits Fortinet — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0725/
CERTFR-2026-AVI-0716 Vulnérabilité dans FreeBSD — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0716/
CERTFR-2026-AVI-0717 Multiples vulnérabilités dans OpenSSL — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0717/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
 
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #Windows #ZeroDay #YellowKey #GreenPlasma #MiniPlasma #CVE202645585 #CVE202645586 #CVE202017103 #BitLocker #WinRE #NightmareEclipse #RoguePlanet #Defender #CVE202633825 #CISA #KEV #BOD2201 #LiteLLM #CVE202642271 #CheckPoint #CVE202650751 #Arista #CVE20267473 #Chromium #V8 #CVE202611645 #Cisco #SDWAN #CVE202620245 #CERTFR #Fortinet #FortiOS #CVE202567862 #CVE202625089 #CVE202649938 #FreeBSD #CVE202649413 #OpenSSL #SaltTyphoon #Telecoms #NCSC #RadioCSIRT

🪟 Microsoft publie un Patch Tuesday massif pour juin 2026 : 200 vulnérabilités corrigées sur son seul périmètre, dont 33 critiques. La ventilation fait ressortir 65 élévations de privilèges, 55 exécutions de code à distance, 30 divulgations d'information, 27 Spoofing, 19 contournements de sécurité et 7 dénis de service. Le décompte exclut les 360 failles Edge et Chromium traitées par Google ce mois-ci.
🔓 Première Zero-Day divulguée, la CVE-2026-45586 vise le Windows Collaborative Translation Framework, alias CTFMON. Un défaut de résolution de lien, le link following, permet à un attaquant authentifié d'élever localement ses privilèges jusqu'au niveau SYSTEM. Microsoft attribue la découverte à un chercheur anonyme et n'a relevé aucune exploitation active.
💥 Deuxième Zero-Day, la CVE-2026-49160, baptisée HTTP/2 Bomb par les chercheurs de Calif, est un déni de service dans HTTP.sys. En détournant la compression des en-têtes HTTP/2, un attaquant non authentifié force le serveur à allouer une mémoire disproportionnée, puis la maintient mobilisée via le contrôle de flux. Microsoft introduit le paramètre de registre MaxHeadersCount pour limiter le nombre d'en-têtes acceptés.
🔑 Troisième Zero-Day, la CVE-2026-50507 contourne BitLocker par attaque physique. Il s'agit du correctif de la faille YellowKey, divulguée par le chercheur Nightmare Eclipse : des fichiers déposés sur une clé USB ou la partition EFI, puis un démarrage en environnement WinRE avec la touche CTRL maintenue, ouvraient un shell donnant accès aux disques chiffrés. Sont visés les systèmes en protection TPM seul sous Windows 11 et Server 2022/2025.
🖥️ Le Remote Desktop Client concentre une douzaine d'exécutions de code à distance, dont sept critiques, parmi lesquelles les CVE-2026-42985, 2026-47289 et 2026-44801. Le scénario type vise le poste client lors d'une connexion vers un serveur RDP malveillant ou compromis.
📄 La suite Office aligne une longue série de RCE critiques, notamment sur le couple Outlook et Word, avec les CVE-2026-45458, 2026-47635 et 2026-45456. Le vecteur reste le document piégé, le risque du volet de prévisualisation d'Outlook en ligne de mire.
🧩 L'infrastructure critique n'est pas épargnée : Hyper-V écope de RCE critiques pouvant mener à une évasion de machine virtuelle, le KDC Kerberos est touché par la CVE-2026-47288, et les Active Directory Domain Services par la CVE-2026-45648, deux failles au cœur des contrôleurs de domaine. Secure Boot et UEFI cumulent par ailleurs une dizaine de contournements de la chaîne de confiance au démarrage.
Sources :
Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-juin-2026/
Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/ 
CVE-2026-45586 (Windows CTFMON Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586 
CVE-2026-49160 (HTTP.sys Denial of Service) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160 
CVE-2026-50507 (Windows BitLocker Security Feature Bypass) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507 
CVE-2026-41108 (Windows DNS Client Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108 
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #ZeroDay #CVE202645586 #CTFMON #ElevationOfPrivilege #CVE202649160 #HTTP2Bomb #DenialOfService #HTTPsys #CVE202650507 #BitLocker #YellowKey #NightmareEclipse #SecureBoot #UEFI #RemoteDesktop #RDP #RCE #Office #Outlook #HyperV #Kerberos #KDC #ActiveDirectory #CVE202641108 #WindowsDNS #PatchManagement #RadioCSIRT

🪟 Dans le cadre de son Patch Tuesday, Microsoft corrige la CVE-2026-41108, une élévation de privilèges dans le client DNS de Windows reposant sur un Heap-based Buffer Overflow. L'exploitation suppose de remporter une condition de concurrence, d'où une complexité jugée élevée, mais un succès donnerait des droits SYSTÈME. Le parc concerné s'étend de Windows 10 à Windows Server 2025.
🎣 Selon la Lloyds Bank, les plateformes de Meta concentrent 68 % des signalements de fraude de ses clients britanniques. Le préjudice atteint 66 millions de livres par an, contre 27 millions en 2023. Fait notable, ce sont les utilisateurs de la fin de la vingtaine et du début de la trentaine qui déclarent le plus de cas, malgré leur aisance numérique supposée.
🔓 Le CERT Santé alerte sur la CVE-2026-50751, déjà activement exploitée, dans les passerelles Check Point Security Gateway et Spark. Une faiblesse dans la validation des certificats IKEv1 laisse un attaquant distant non authentifié monter un tunnel VPN sans mot de passe valide. L'exploitation reste conditionnée à l'activation des clients legacy et d'IKEv1, sans certificat machine obligatoire.
🇫🇷 La DINUM confirme une compromission de Tchap, la messagerie chiffrée de l'État bâtie sur Matrix. L'ANSSI a détecté l'intrusion via un compte utilisateur compromis, depuis bloqué, et la CNIL a été alertée. Un attaquant revendique l'accès au serveur du ministère de l'Éducation par ingénierie sociale et affirme avoir exfiltré 13,5 Go de documents et près de 650 000 messages.
💾 Veeam corrige la CVE-2026-44963, notée 9.4, une exécution de code à distance dans Backup & Replication 12.x. Un simple utilisateur de domaine faiblement privilégié peut exécuter du code sur les serveurs de sauvegarde rattachés à un domaine Active Directory. La branche 13.x n'est pas concernée. Ce type d'infrastructure reste une cible prioritaire des groupes de Ransomware.
🛡️ Ivanti publie un avis couvrant deux failles critiques dans Sentry. La CVE-2026-10520, notée au score maximal de 10, est une injection de commande système offrant une exécution de code root non authentifiée. Elle se double de la CVE-2026-10523, un contournement d'authentification permettant de créer des comptes administrateurs arbitraires. Les versions antérieures à R10.5.2, R10.6.2 et R10.7.1 sont concernées.
📱 Apple dévoile iOS 27 à la WWDC et reconduit la liste des modèles compatibles avec iOS 26. Le suivi de l'iPhone 11, lancé en 2019, atteint ainsi sept ans, une longévité record pour la marque. Avec seulement 4 Go de RAM, l'appareil peine toutefois déjà sous iOS 26, et la majorité des fonctions d'Apple Intelligence reste réservée aux iPhone 15 Pro et ultérieurs.
Sources :
CVE-2026-41108 — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108
Scammers love Meta, according to Lloyds Bank — Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/06/scammers-love-meta-according-to-lloyds-bank
Check Point - CVE-2026-50751 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/check-point-cve-2026-50751-2026-06-09
French govt messaging service breached in account hijacking attack — BleepingComputer : https://www.bleepingcomputer.com/news/security/french-govt-messaging-service-breached-in-account-hijacking-attack/
Critical Veeam RCE Flaw Lets Low-Privilege Users Take Over Backup Servers — Security Affairs : https://securityaffairs.com/193385/uncategorized/critical-veeam-rce-flaw-lets-low-privilege-users-take-over-backup-servers.html
CVE-2026-10520 (Ivanti Sentry OS Command Injection) — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10520
CVE-2026-10523 (Ivanti Sentry Authentication Bypass) — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10523
Pourquoi Apple donne une leçon de support logiciel étendu avec iOS 27 — Clubic : https://www.clubic.com/actualite-616093-pourquoi-apple-donne-une-lecon-de-support-logiciel-etendu-avec-ios-27.html
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #WindowsDNS #CVE202641108 #ElevationOfPrivilege #Meta #Phishing #Fraud #LloydsBank #CheckPoint #CVE202650751 #VPN #IKEv1 #Tchap #DINUM #ANSSI #Matrix #DataBreach #Veeam #BackupReplication #CVE202644963 #RCE #Ransomware #Ivanti #Sentry #CVE202610520 #CVE202610523 #CommandInjection #AuthBypass #iOS27 #Apple #PatchManagement #RadioCSIRT

🌐 Le CERT-FR recense près de cinq cents CVE corrigées d'un seul coup dans Microsoft Edge, dans ses versions antérieures à la 149.0.4022.52. L'éditeur classe ces failles comme un problème de sécurité non spécifié, sans détailler ni le vecteur ni le niveau de risque. L'élément distinctif reste l'ampleur exceptionnelle de ce lot corrigé en une seule vague, sur la base de code partagée avec Chromium.
🐘 Une vulnérabilité dans le framework PHP Laravel, suivie sous CVE-2026-48041, ouvre la voie à un contournement de la politique de sécurité. Elle touche les versions 13.x antérieures à la 13.12.0 et toutes les versions antérieures à la 12.61.1. L'enjeu tient à la surface d'exposition : Laravel sert de socle à un très grand nombre d'applications web, ce qui élargit mécaniquement le périmètre concerné.
🖥️ VMware dévoile trois vulnérabilités de type stored XSS dans Cloud Foundation Operations, regroupées dans l'avis VMSA-2026-0004 et notées 8,0. Faute de validation correcte des entrées, un attaquant peut y stocker des charges JavaScript qui s'exécutent dans le navigateur d'un administrateur. Sans solution de contournement, seul le correctif protège, avec un risque de pivot vers vCenter.
📦 Le SANS ISC fait le point sur la campagne supply chain attribuée à TeamPCP. La CISA a inscrit deux CVE à son catalogue des vulnérabilités exploitées, avec une échéance au 10 juin. Le framework Mini Shai-Hulud, rendu public, a produit sa première vague npm d'ampleur : le Worm « Miasma » a compromis au moins 32 paquets sous le scope @redhat-cloud-services, avec des attestations de provenance SLSA valides.
🕵️ WhatsApp accuse NSO Group de nouvelles attaques de Spearphishing contre ses utilisateurs, en violation d'une injonction judiciaire d'octobre. D'après Meta, l'éditeur de logiciels espions a employé des techniques d'ingénierie sociale pour pousser les victimes vers des liens malveillants hébergés hors de la plateforme. WhatsApp saisit la justice fédérale pour faire reconnaître NSO en outrage à l'injonction.
Sources :
Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0700/
Vulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0703/
Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts — GBHackers : https://gbhackers.com/multiple-vmware-stored-xss-flaw/
TeamPCP Supply Chain Campaign: Activity Through 2026-06-07 — SANS ISC : https://isc.sans.edu/diary/rss/33060
WhatsApp says NSO targeted users with attacks against court order — The Record : https://therecord.media/whatsapp-says-nso-targeted-users-with-attacks-against-court-order
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #MicrosoftEdge #Chromium #CVE #Laravel #PHP #CVE202648041 #VMware #CloudFoundation #StoredXSS #VMSA20260004 #vCenter #SupplyChain #TeamPCP #MiniShaiHulud #npm #Miasma #Worm #SLSA #CISA #KEV #RedHat #NSOGroup #WhatsApp #Spearphishing #Spyware #SocialEngineering #PatchManagement #RadioCSIRT

🤖 Une nouvelle variante du botnet Gafgyt, baptisée C0XMO, cible le Firmware des routeurs DD-WRT et se propage vers d'autres architectures. Selon Fortinet, l'infection repose sur la CVE-2021-27137, un buffer overflow exploitable sans authentification. Un script Python scanne Internet, brute-force les identifiants faibles et déploie le binaire adapté, avant de traquer et supprimer les botnets concurrents. C0XMO reste un outil de DDoS, supportant dix-neuf méthodes de flood.
🔒 OpenAI déploie un Lockdown Mode dans ChatGPT pour réduire le risque d'exfiltration de données lié aux attaques de prompt injection. Selon The Hacker News, le mode ne bloque pas les injections elles-mêmes mais coupe les chemins de fuite, en limitant les requêtes réseau sortantes. Il désactive pour cela la navigation web en direct, le support des images, la recherche approfondie, le mode agent, l'accès réseau du Canvas et le téléchargement de fichiers.
🛡️ Une faille de déni de service à distance touche le pare-feu de Comodo Internet Security. La CVE-2026-49494, notée 8,7, se loge dans le pilote Inspect.sys, dont l'analyseur IPv6 souffre d'un integer underflow. Comme le détaille VulnCheck, l'analyse intervenant avant le filtrage, un attaquant non authentifié peut provoquer un écran bleu sous Windows avec un seul paquet IPv6 forgé, même contre une machine tous ports fermés.
Sources :
C0XMO botnet spreads via DD-WRT router flaw, kills rival malware — BleepingComputer : https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/
New ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration — The Hacker News : https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.html
CVE-2026-49494 - Comodo Internet Security Inspect.sys IPv6 Integer Underflow Remote Denial of Service — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-49494
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Botnet #Gafgyt #C0XMO #DDWRT #DDoS #CVE202127137 #Fortinet #OpenAI #ChatGPT #LockdownMode #PromptInjection #LLM #AI #Comodo #CVE202649494 #IPv6 #IntegerUnderflow #VulnCheck #Windows #BSOD #PatchManagement #RadioCSIRT