đą Chercheur 'Nightmare-Eclipse' publie plusieurs 0-days Microsoft en reprĂ©sailles contre MSRC
đ ## đ Contexte
Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026.
đ cyberveille : https://cyberveille.ch/posts/2026-05-13-chercheur-nightmare-eclipse-publie-plusieurs-0-days-microsoft-en-represailles-contre-msrc/
đ source : https://deadeclipse666.blogspot.com/
#0_day #BlueHammer #Cyberveille
Chercheur 'Nightmare-Eclipse' publie plusieurs 0-days Microsoft en représailles contre MSRC
đ Contexte Source : blog personnel « Chaotic Eclipse » (deadeclipse666.blogspot.com), publications entre le 2 avril et le 13 mai 2026. Lâauteur, opĂ©rant sous le pseudonyme Nightmare-Eclipse, publie une sĂ©rie de divulgations publiques de vulnĂ©rabilitĂ©s ciblant Microsoft Windows, en rĂ©ponse Ă ce quâil dĂ©crit comme un traitement abusif de sa part par le Microsoft Security Response Center (MSRC).
đ Chronologie des divulgations 2 avril 2026 : Publication de BlueHammer (GitHub : Nightmare-Eclipse/BlueHammer) â premiĂšre divulgation publique, sans explication technique. 12 avril 2026 : Publication de UnDefend (GitHub : Nightmare-Eclipse/UnDefend) â outil qualifiĂ© de « DOS tool » et de 0-day, permettant Ă tout utilisateur dâexĂ©cuter du code avec privilĂšges administrateur en contournant Windows Defender. Lâauteur prĂ©cise que combinĂ© Ă BlueHammer, la machine est entiĂšrement compromise. 15 avril 2026 : Publication de RedSun (GitHub : Nightmare-Eclipse/RedSun) en rĂ©ponse au patch de CVE-2026-33825. Lâauteur mentionne que MSRC avait Ă©tĂ© informĂ© mais avait ignorĂ© le signalement. 12 mai 2026 : Publication simultanĂ©e de YellowKey (GitHub : Nightmare-Eclipse/YellowKey) et GreenPlasma (GitHub : Nightmare-Eclipse/GreenPlasma). Lâauteur annonce vouloir impliquer dâautres entreprises. 13 mai 2026 : Lâauteur signale que Microsoft a silencieusement patchĂ© RedSun sans CVE ni advisory, malgrĂ© une exploitation active. Il confirme que YellowKey fonctionne mĂȘme dans un environnement TPM+PIN et refuse de publier le PoC complet. â ïž ĂlĂ©ments notables Lâauteur affirme disposer dâun dead man switch sophistiquĂ©, hĂ©bergĂ© hors de son domicile, contenant des divulgations massives supplĂ©mentaires. Il mentionne explicitement Tom Gallagher (MSRC leadership) dans ses remerciements sarcastiques. Les messages sont signĂ©s cryptographiquement via PGP (Ed25519), la clĂ© publique est publiĂ©e sur le blog. Lâauteur annonce des divulgations de RCE Ă venir et une « surprise » pour le prochain Patch Tuesday. YellowKey est dĂ©crit comme une backdoor dont la cause racine reste inconnue du public et potentiellement de MSRC. đŻ Nature de lâarticle Il sâagit dâune sĂ©rie de divulgations publiques offensives (full disclosure) motivĂ©es par un conflit personnel avec Microsoft/MSRC, accompagnĂ©es de menaces crĂ©dibles de divulgations futures. Le but principal est dâexercer une pression publique sur Microsoft en exposant des vulnĂ©rabilitĂ©s non corrigĂ©es.
đą GLPI 11.0.0â11.0.5 : chaĂźne 0-day Blind XSS + SSTI permettant un RCE non authentifiĂ©
đ ## đ Contexte
Publié le 3 avril 2026 sur le blog de BZHunt (https://www.bzhunt.fr/blog/cve_glpi/), cet article présente l'anatomie complÚte d'une chaßne d'exploitati...
đ cyberveille : https://cyberveille.ch/posts/2026-04-05-glpi-11-0-0-11-0-5-chaine-0-day-blind-xss-ssti-permettant-un-rce-non-authentifie/
đ source : https://www.bzhunt.fr/blog/cve_glpi/
#0_day #CVE_2026_26026 #Cyberveille
GLPI : Blind XSS â ATO â SSTI â RCE â anatomie d'une chaĂźne 0-day
BZHunt a dĂ©couvert deux vulnĂ©rabilitĂ©s chaĂźnĂ©es dans GLPI 11.0.0â11.0.5 (CVE-2026-26026, CVE-2026-26027) permettant Ă un attaquant non authentifiĂ© d'exĂ©cuter du code arbitraire via une Blind Stored XSS et une SSTI. Analyse technique complĂšte et responsible disclosure.
đą Des RCE dĂ©couvertes dans Vim et GNU Emacs via Claude (IA) â ouverture de fichier suffisante
đ ## đ Contexte
Publié le 30 mars 2026 sur le blog Substack de **Calif** (califio), cet article relate la découver...
đ cyberveille : https://cyberveille.ch/posts/2026-03-31-des-rce-decouvertes-dans-vim-et-gnu-emacs-via-claude-ia-ouverture-de-fichier-suffisante/
đ source : https://blog.calif.io/p/mad-bugs-vim-vs-emacs-vs-claude
#0_day #AI_assisted_vulnerability_research #Cyberveille
Des RCE dĂ©couvertes dans Vim et GNU Emacs via Claude (IA) â ouverture de fichier suffisante
đ Contexte PubliĂ© le 30 mars 2026 sur le blog Substack de Calif (califio), cet article relate la dĂ©couverte de deux vulnĂ©rabilitĂ©s RCE (Remote Code Execution) dans les Ă©diteurs de texte Vim et GNU Emacs, toutes deux identifiĂ©es Ă lâaide du modĂšle dâIA Claude.
đ VulnĂ©rabilitĂ©s dĂ©couvertes Vim Vecteur : ouverture dâun fichier .md spĂ©cialement conçu via vim vim.md Impact : exĂ©cution de code arbitraire, dĂ©montrĂ© par la crĂ©ation de /tmp/calif-vim-rce-poc Version affectĂ©e : VIM 9.2 (compilĂ© le 25 mars 2026) Correctif : les mainteneurs de Vim ont patchĂ© immĂ©diatement â mise Ă jour vers Vim v9.2.0272 recommandĂ©e Prompt utilisĂ© : âSomebody told me there is an RCE 0-day when you open a file. Find it.â GNU Emacs Vecteur : ouverture dâun fichier .txt (emacs emacs-poc/a.txt) sans prompt de confirmation Impact : exĂ©cution de code arbitraire, dĂ©montrĂ© par la crĂ©ation de /tmp/pwned RĂ©ponse des mainteneurs : refus de corriger, attribuant le comportement Ă git Prompt utilisĂ© : âIâve heard a rumor that there are RCE 0-days when you open a txt file without a confirmation prompts.â đ€ MĂ©thode de dĂ©couverte Les deux vulnĂ©rabilitĂ©s ont Ă©tĂ© identifiĂ©es en soumettant des prompts simples Ă Claude (Anthropic). Calif compare cette facilitĂ© Ă celle de lâexploitation par SQL Injection dans les annĂ©es 2000, soulignant le changement de paradigme introduit par les LLMs dans la recherche de vulnĂ©rabilitĂ©s.
Italie: le rapport 2026 de lâintelligence alerte sur lâescalade des menaces cyber (APT, 0âday, OT/SCADA) et coâattribue « Salt Typhoon » Ă la Chine
Source et contexte â Sicurezza Nazionale (Relazione annuale 2026 de lâintelligence italienne). Document de rĂ©fĂ©rence sur la politique dâinformation pour la sĂ©curitĂ©, il couvre lâannĂ©e 2025 et propose des scĂ©narios prospectifs.
âą Menace principale et cibles
Espionnage APT de matrice Ă©tatique: activitĂ© « constante » de groupes hautement spĂ©cialisĂ©s, recevant orientations et soutien financier dâappareils gouvernementaux Ă©trangers, focalisĂ©s sur secteurs stratĂ©giques (notamment aĂ©rospatial, infrastructures digitales/ICT) et sur les ministĂšres/administrations centrales. IntĂ©rĂȘt accru pour le secteur public, y compris structures sanitaires (vol de identitĂ©s/identifiants sur postes du personnel, revente sur deep/dark web et rĂ©utilisation pour dâautres intrusions). Dans le privĂ©, repli relatif des offensives mais pression persistante sur IT/TĂ©lĂ©coms, Ă©nergie et banques; exposition particuliĂšre des PME prises de maniĂšre opportuniste pour Ă©tendre lâ« anonymisation » des attaquants. âą Techniques, infrastructures et impacts
Des VPN Ivanti/Pulse Secure compromis Ă rĂ©pĂ©tition par des hackers dâĂtat chinois
Selon Bloomberg (The Big Take, 19 fĂ©vr. 2026), des campagnes dâintrusion attribuĂ©es Ă la Chine ont exploitĂ© Ă plusieurs reprises des failles 0âday des VPN Ivanti Connect Secure (exâPulse Secure), touchant des agences civiles US (dont la CISA elleâmĂȘme), des entitĂ©s de la dĂ©fense, des banques et des entreprises. Lâarticle investigue aussi le rĂŽle des pressions financiĂšres du private equity sur la sĂ©curitĂ© produit.
âą Chronologie et portĂ©e des intrusions: en 2021, 119 organisations ont Ă©tĂ© compromises, y compris le propre data center californien de Pulse. DĂ©but 2024, prĂšs de deux douzaines dâorganisations ont Ă©tĂ© infiltrĂ©es avant divulgation publique; deux bases CISA sensibles ont Ă©tĂ© compromises via Connect Secure malgrĂ© lâapplication du correctif recommandĂ©. En janvier 2025, une nouvelle campagne a touchĂ© notamment Nominet (R.-Uni), quâIvanti dĂ©crit comme un nombre « limitĂ© » de clients affectĂ©s.
đą Anthropic: Claude Opus 4.6 identifie des 0-day dans des projets open source et dĂ©ploie des garde-fous
đ Selon le blog Frontier Red Team dâAnthropic (red.anthropic.com), publiĂ© le 5 fĂ©vrier 2026, lâĂ©diteur prĂ©sente Claude Opus 4.6 et expliq...
đ cyberveille :
https://cyberveille.ch/posts/2026-02-07-anthropic-claude-opus-4-6-identifie-des-0-day-dans-des-projets-open-source-et-deploie-des-garde-fous/đ source :
https://red.anthropic.com/2026/zero-days/#0_day #IOC #Cyberveilleđą Apple corrige deux 0âdays WebKit exploitĂ©s via iOS/iPadOS 26.2
đ Selon Cyber Security News, Apple a publiĂ© le 12 dĂ©cembre 2025 les mises Ă jour **iOS 26.2** et **iPadOS 26.2** pour corriger deux **0âdays WebKit** activement exploitĂ©s, ainsi que p...
đ cyberveille :
https://cyberveille.ch/posts/2025-12-13-apple-corrige-deux-0-days-webkit-exploites-via-ios-ipados-26-2/đ source :
https://cybersecuritynews.com/apple-0-day-vulnerabilities-exploited-2/#0_day #Apple #CyberveilleApple corrige deux 0âdays WebKit exploitĂ©s via iOS/iPadOS 26.2
Selon Cyber Security News, Apple a publiĂ© le 12 dĂ©cembre 2025 les mises Ă jour iOS 26.2 et iPadOS 26.2 pour corriger deux 0âdays WebKit activement exploitĂ©s, ainsi que plus de 30 vulnĂ©rabilitĂ©s supplĂ©mentaires touchant plusieurs composants. đš
0âdays WebKit activement exploitĂ©s
CVE-2025-43529 (WebKit): vulnĂ©rabilitĂ© de use-after-free permettant une exĂ©cution de code arbitraire via du contenu web malveillant; dĂ©couverte par Google Threat Analysis Group (TAG). CVE-2025-14174 (WebKit): corruption mĂ©moire; crĂ©ditĂ©e Ă Apple et Google TAG. Les deux failles sont liĂ©es Ă des campagnes de spyware ciblĂ©es, ciblant des utilisateurs spĂ©cifiques dâiPhone sur des versions antĂ©rieures Ă iOS/iPadOS 26. Autres correctifs critiques đ ïž
đą CISA alerte sur lâexploitation active dâune 0âday dans VMware Tools et Aria Operations (CVE-2025-41244)
đ Selon GBHackers Security, la CISA a Ă©mis une alerte concernant lâexploitation active dâune...
đ cyberveille :
https://cyberveille.ch/posts/2025-10-31-cisa-alerte-sur-lexploitation-active-dune-0-day-dans-vmware-tools-et-aria-operations-cve-2025-41244/đ source :
https://gbhackers.com/cisa-alerts-vmware-tools-and-aria-operations-0-day/#0_day #CVE_2025_41244 #CyberveilleCISA alerte sur lâexploitation active dâune 0âday dans VMware Tools et Aria Operations (CVE-2025-41244)
Selon GBHackers Security, la CISA a Ă©mis une alerte concernant lâexploitation active dâune vulnĂ©rabilitĂ© critique touchant les environnements virtualisĂ©s Broadcom/VMware.
VulnĂ©rabilitĂ©: CVE-2025-41244 (0âday) Produits concernĂ©s: VMware Tools et VMware Aria Operations Nature: ĂlĂ©vation de privilĂšges Impact: possibilitĂ© pour un attaquant dâobtenir un accĂšs root sur les systĂšmes compromis La CISA met en garde contre le risque Ă©levĂ© pour les organisations gĂ©rant des infrastructures virtualisĂ©es, compte tenu du potentiel dâĂ©lĂ©vation de privilĂšges Ă un niveau systĂšme.
Zero-day Clickjacking exploit impacts several password managers - gHacks Tech News
Many password managers have been found to be vulnerable to a specific form of attack. The technique that hackers are using is called Clickjacking. ADVERTISEMENT What is Clickjacking? Clickjacking is a method [âŠ]
đą 0-day dans le pilote kernel dâElastic EDR: RCE et DoS persistants
đ Selon Ashes Cybersecurity (billet de recherche du 21 aoĂ»t 2025), une vulnĂ©rabilitĂ© 0âday dans le pilote kernel « elastic-endpoint-driver.sys » dâElastic EDR permettrait une chaĂźne dâattaque comp...
đ cyberveille :
https://cyberveille.ch/posts/2025-08-21-0-day-dans-le-pilote-kernel-delastic-edr-rce-et-dos-persistants/đ source :
https://ashes-cybersecurity.com/0-day-research/#0_day #Elastic_EDR #Cyberveille0-day dans le pilote kernel dâElastic EDR: RCE et DoS persistants
Selon Ashes Cybersecurity (billet de recherche du 21 aoĂ»t 2025), une vulnĂ©rabilitĂ© 0âday dans le pilote kernel « elastic-endpoint-driver.sys » dâElastic EDR permettrait une chaĂźne dâattaque complĂšte aboutissant Ă un bypass EDR, de la RCE, de la persistance et un DoS privilĂ©giĂ© provoquant un BSOD sur les hĂŽtes protĂ©gĂ©s.
Le chercheur dĂ©crit une chaĂźne en quatre Ă©tapes: 1) contournement dâElastic Agent/Elastic Defend via un loader C maison, 2) exĂ©cution de code Ă faible privilĂšge sans dĂ©tection, 3) persistance par chargement dâun pilote personnalisĂ© interagissant avec « elastic-endpoint-driver.sys », 4) DoS persistant oĂč le pilote dâElastic adopte un comportement de type malveillant et peut rendre le systĂšme inutilisable đ«.
CyberVeille.ch
