Nous ouvrons cet épisode avec une analyse technique publiée par l'ISC SANS sur la manipulation du Process Environment Block. Cette technique exploitée par les malwares permet de masquer les paramètres de lancement des processus via l'API CreateProcess avec le flag CREATE_SUSPENDED. Le PEB, structure user-mode de Windows, peut être modifié en quatre étapes : localisation, lecture, réécriture des paramètres, puis reprise du processus. La technique présente une limitation majeure liée à la longueur des commandes et ne trompe pas les EDR qui journalisent les paramètres originaux à la création.

Trend Micro a déployé le Critical Patch Build 7190 pour corriger le CVE-2025-69258, une vulnérabilité Remote Code Execution dans Apex Central. La faille de type LoadLibraryEX permet l'injection de DLL malveillante dans le processus MsgReceiver.exe sur le port TCP 20001, avec exécution de code sous le contexte SYSTEM. Tenable, qui a découvert la vulnérabilité, a publié les détails techniques et un proof-of-concept. Le patch corrige également deux failles Denial-of-Service.

La CISA procède à sa plus importante clôture groupée avec le retrait de dix Emergency Directives émises entre 2019 et 2024. Les actions requises ont été complétées ou sont désormais couvertes par la Binding Operational Directive 22-01 qui s'appuie sur le catalogue Known Exploited Vulnerabilities. Parmi les directives fermées figurent ED 21-01 sur SolarWinds Orion, ED 21-02 concernant Microsoft Exchange, et ED 24-02 relative à la compromission nation-state du système email corporate de Microsoft.

Une vulnérabilité critique affecte Undertow HTTP server core, composant déployé dans WildFly et JBoss EAP. Le CVE-2025-12543, classé CVSS 9.6, exploite une faiblesse d'Improper Input Validation dans le traitement des HTTP Host headers. Red Hat a publié les patches via RHSA-2026:0386 et RHSA-2026:0383, précisant qu'aucune mitigation alternative ne satisfait les critères de sécurité. Le patching immédiat constitue l'unique mesure recommandée.

Enfin, Security Affairs rapporte qu'un blackout internet national a été imposé en Iran dans un contexte de répression violente des manifestations. NetBlocks confirme que la connectivité est tombée à 1% des niveaux ordinaires. Amnesty International et le groupe Hengaw documentent 42 décès incluant six enfants, avec usage d'armes à feu réelles et arrestations arbitraires massives. Les données Tor Metrics montrent une augmentation significative de l'usage du réseau anonyme par les citoyens iraniens.

Sources :

• ISC SANS – PEB Manipulation : https://isc.sans.edu/diary/rss/32614
• BleepingComputer – Trend Micro Apex Central : https://www.bleepingcomputer.com/news/security/trend-micro-fixes-critical-rce-flaw-in-apex-central-console/
• BleepingComputer – CISA Emergency Directives : https://www.bleepingcomputer.com/news/security/cisa-retires-10-emergency-cyber-orders-in-rare-bulk-closure/
• CyberSecurityNews – Undertow : https://cybersecuritynews.com/undertow-http-server-vulnerability/
• Security Affairs – Iran blackout : https://securityaffairs.com/186718/intelligence/iran-cuts-internet-nationwide-amid-deadly-protest-crackdown.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com