La CISA ajoute une nouvelle entrée à son Known Exploited Vulnerabilities Catalog le 22 avril 2026 : la CVE-2026-33825, une faille d’Insufficient Granularity of Access Control affectant Microsoft Defender, activement exploitée. Les agences FCEB sont tenues de remédier dans les délais fixés par la Binding Operational Directive 22-01.
Le Centre canadien pour la cybersécurité publie le bulletin AV26-381 relayant la diffusion par Apple de correctifs de sécurité pour iOS et iPadOS dans les versions antérieures à 18.7.8 et 26.4.2. Les administrateurs sont invités à appliquer sans délai les mises à jour sur les parcs concernés.
Microsoft diffuse une mise à jour out-of-band corrigeant la CVE-2026-40372, une vulnérabilité critique d’ASP.NET Core notée 9.1 en CVSS. Une régression dans les packages NuGet Microsoft.AspNetCore.DataProtection 10.0.0 à 10.0.6 conduit le managed authenticated encryptor à calculer son HMAC sur des octets incorrects, permettant à un attaquant non authentifié de forger des payloads validés, déchiffrer des authentication cookies et obtenir des privilèges SYSTEM. L’exploitation suppose une exécution sur Linux, macOS ou un autre système non Windows. Les tokens émis pendant la fenêtre restent valides tant que le DataProtection key ring n’est pas rotaté.
Security Affairs rapporte une attaque DDoS majeure contre Mastodon le 20 avril 2026, quelques jours après un incident similaire ayant visé Bluesky. La plateforme open source décentralisée a rétabli l’accessibilité environ deux heures après détection. L’attaque contre Bluesky a été revendiquée par le groupe 313 Team, sans revendication publique à ce stade concernant Mastodon.
NPR révèle qu’Immigration and Customs Enforcement a confirmé pour la première fois l’usage du spyware Graphite, développé par la société israélienne Paragon Solutions, dans le cadre de ses opérations de Homeland Security Investigations. L’outil repose sur une capacité zero-click d’accès aux messages chiffrés. Paragon avait fait l’objet d’un contrat de 2 millions de dollars suspendu sous l’administration Biden puis relancé sous l’administration Trump, et a été rachetée fin 2024 par AE Industrial Partners, fusionnée avec la société de cybersécurité REDLattice.
Jenn Gile, cofondatrice d’OpenSourceMalware, publie sur le blog du FIRST une analyse expliquant en quoi les packages malveillants publiés sur les registres open source échappent au modèle classique d’intelligence des vulnérabilités. Le cas d’axios, client HTTP JavaScript téléchargé 100 millions de fois par semaine et dont deux versions malveillantes ont été publiées le 30 mars 2026 suite au hijacking du compte du mainteneur, illustre les limites de l’enregistrement OSV MAL-2026-2307 face à un RAT multiplateforme caché dans la dépendance injectée plain-crypto-js.
Didier Stevens documente sur l’Internet Storm Center du SANS l’utilisation de fichiers .wav comme vecteur de diffusion de malware, sans recours à la stéganographie. Les octets encodant le son sont directement remplacés par la représentation BASE64 d’un PE obfusqué en XOR. L’extraction repose sur une known-plaintext attack exploitant la signature du DOS header via les outils base64dump.py et xor-kpa.py.
Enfin, le Year in Review 2025 de Cisco Talos souligne que le phishing reste à l’origine de 40 % des initial access, avec une bascule vers des leurres workflow et un abus croissant de Microsoft 365 Direct Send pour spoofer des adresses internes. Près d’un tiers des MFA spray attacks visent désormais des solutions d’IAM, et les device compromise ont progressé de 178 % en 2025, majoritairement via du voice phishing contre les administrateurs.
Sources :
- CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/22/cisa-adds-one-known-exploited-vulnerability-catalog
- Bulletin de sécurité Apple (AV26-381) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-apple-av26-381
- Microsoft Patches Critical ASP.NET Core CVE-2026-40372 Privilege Escalation Bug — The Hacker News : https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html
- DDoS wave continues as Mastodon hit after Bluesky incident — Security Affairs : https://securityaffairs.com/191144/cyber-crime/ddos-wave-continues-as-mastodon-hit-after-bluesky-incident.html
- ICE acknowledges it is using powerful spyware — NPR : https://www.npr.org/2026/04/07/nx-s1-5776799/ice-spyware-privacy
- Malicious Packages Don’t Fit the Vulnerability Intelligence Model — FIRST : https://www.first.org/blog/20260420-Malicious-Packages-Dont-Fit
- A .WAV With A Payload — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32910
- Phishing and MFA exploitation: Targeting the keys to the kingdom — Cisco Talos : https://blog.talosintelligence.com/phishing-and-mfa-exploitation-targeting-the-keys-to-the-kingdom/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #MicrosoftDefender #Apple #iOS #iPadOS #CCCS #ASPNETCore #Microsoft #DataProtection #HMAC #Mastodon #Bluesky #DDoS #313Team #ICE #Graphite #Paragon #Spyware #ZeroClick #OpenSourceMalware #axios #npm #SupplyChain #FIRST #SANS #ISC #WAV #XOR #MalwareAnalysis #CiscoTalos #Phishing #MFA #DirectSend #IAM #DeviceCompromise #Infosec #CyberNews