Nous revenons dans cet épisode sur la CVE-2026-21509, vulnérabilité zero-day de contournement de fonctionnalité de sécurité affectant la suite Microsoft Office. Microsoft a publié un avis de sécurité le 26 janvier indiquant une exploitation active dans la nature. La CISA a ajouté cette CVE à son catalogue KEV le même jour, confirmant le niveau de menace critique. Cette vulnérabilité fait partie des cinq nouvelles entrées KEV incluant également la CVE-2025-52691 et la CVE-2026-23760 affectant SmarterTools SmarterMail, la CVE-2026-24061 pour GNU InetUtils et la CVE-2018-14634 pour le noyau Linux.
Les opérateurs de Kimwolf, botnet perturbateur ayant infecté plus de 2 millions d’appareils, ont partagé une capture d’écran indiquant qu’ils auraient compromis le panneau de contrôle de Badbox 2.0. Badbox 2.0 constitue un vaste botnet basé en Chine alimenté par des logiciels malveillants préinstallés sur de nombreux boîtiers de streaming Android TV. Cette interconnexion potentielle donnerait aux opérateurs de Kimwolf un contrôle sur plusieurs millions d’appareils Android supplémentaires, illustrant une consolidation préoccupante des infrastructures malveillantes.
Plus de 6000 serveurs SmarterTools SmarterMail à travers le monde restent exposés à une vulnérabilité critique d’exécution de code à distance actuellement exploitée. Cette situation concerne directement les CVE-2025-52691 et CVE-2026-23760 ajoutées au catalogue KEV. La compromission de ces serveurs de messagerie d’entreprise pourrait donner accès à des communications sensibles et servir de point d’entrée pour des mouvements latéraux dans les réseaux.
Nous terminons avec Stanley, nouveau service de malware-as-a-service proposant des extensions Chrome malveillantes garantissant leur publication sur le Chrome Web Store officiel. Ce service contourne le processus de révision de Google et cible les activités de phishing. Le modèle as-a-service abaisse significativement la barrière d’entrée pour les cybercriminels, leur permettant d’accéder à des capacités techniques sophistiquées sans expertise préalable.
Sources
- Krebs on Security – Badbox 2.0 Botnet : https://krebsonsecurity.com/2026/01/who-operates-the-badbox-2-0-botnet/
- Cyberpress – SmarterMail RCE : https://cyberpress.org/6000-smartermail-servers-exposed-to-actively-exploited-rce-vulnerability/
- BleepingComputer – Stanley MaaS Chrome : https://www.bleepingcomputer.com/news/security/new-malware-service-guarantees-phishing-extensions-on-chrome-web-store/
- CISA – Catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/01/26/cisa-adds-five-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com