CISA impose correctif Oracle urgent ⚠️, phishing IA contourne filtres e-mails 📧, LegacyHive : zero-day dans Windows 🖥️
• 3 minutes de lectureBonjour, voici ta veille Cybere du 17 juillet 2026 !
CISA impose la correction d'une faille activement exploitée, les attaquants perfectionnent leurs techniques à l'aide de l'IA pour contourner les défenses, et une nouvelle faille zero-day dans Windows est découverte.
Retrouve les trois articles à la une du jour :
- La CISA impose la correction d'une faille Oracle EBS exploitée activement
- Des e-mails de phishing contournent les filtres IA via du texte caché
- Une faille zero-day dans Windows nommée LegacyHive permet une escalade de privilèges locale
La CISA ordonne aux agences fédérales de corriger une faille Oracle exploitée
La CISA a ordonné aux agences fédérales américaines de sécuriser leurs systèmes contre une vulnérabilité critique de la suite Oracle E-Business (EBS) exploitée activement depuis fin juin. Baptisée CVE-2026-46817 et notée CVSS 9.8, cette faille affecte le composant File Transmission du produit Oracle Payments et permet à un attaquant non authentifié d'en prendre le contrôle via HTTP.
Découverte en mai 2026, la vulnérabilité a été exploitée en conditions réelles par des acteurs malveillants à partir du 29 juin, selon la société Defused. De son côté, Shadowserver recense plus de 1 000 instances Oracle EBS exposées en ligne. La CISA a classé la faille parmi ses vulnérabilités exploitées et impose un délai de correction aux agences fédérales avant le 18 juillet.
Points d'attention
- Appliquer immédiatement le correctif Oracle du mois de mai 2026 sur toutes les instances Oracle EBS accessibles depuis le réseau, en priorisant les systèmes exposés en ligne.
- Vérifier les journaux d'accès HTTP au composant File Transmission pour détecter les tentatives d'exploitation antérieures à la mise à jour.
- Isoler les instances non corrigées de la portée HTTP jusqu'à l'application du correctif de sécurité d'Oracle.
Plus d'un million d'e-mails contournent les filtres IA par dissimulation de texte
Les chercheurs de Barracuda Networks ont détecté depuis avril plus d'un million d'e-mails de phishing à thème commercial usant de texte caché pour échapper aux filtres de sécurité statiques et basés sur l'IA. Cette technique ancestrale, baptisée "text salting", gagne en efficacité grâce aux modèles de langage qui accélèrent sa production.
Les attaquants injectent du contenu inoffensif entre des mots malveillants dans le code HTML de l'e-mail, puis le rendent invisible aux utilisateurs via des hauteurs et largeurs nulles ou des débordements hors écran. Les outils de sécurité contemporains tentent de démasquer ce texte caché, mais les attaquants contournent cette défense en superposant plusieurs couches de salting, tandis que les moteurs d'IA peinent à interpréter le contexte global du message.
Points d'attention
- Évaluer la capacité des passerelles de sécurité e-mail actuelles à détecter le texte caché en testant les techniques multicouches de dissimulation et ajuster les règles de filtrage en conséquence.
- Renforcer l'analyse contextuelle des messages en examinant les incohérences entre le contenu visible et le code HTML sous-jacent, ainsi que les patterns de comportement d'expéditeur suspects.
- Former les utilisateurs à reconnaître les signaux de phishing persistants, notamment les mises en forme douteuses et les décalages entre le texte présenté et les actions demandées.
Nightmare Eclipse divulgue une faille zero-day dans Windows sans correctif
Nightmare Eclipse, chercheur en sécurité connu pour publier des exploits contre les produits Microsoft, a révélé une nouvelle vulnérabilité non corrigée dans Windows. Baptisée LegacyHive, cette faille affecte le service User Profile Service et permet une escalade de privilèges locale.
L'exploit repose sur la capacité à charger les ruches de registre d'autres utilisateurs, y compris ceux disposant de droits administrateur. Le code de preuve de concept (PoC) nécessite les identifiants d'un utilisateur standard et le nom d'un autre compte. Contrairement aux publications antérieures de Nightmare Eclipse, cette variante a été volontairement dépouillée pour limiter les risques d'exploitation en conditions réelles.
Points d'attention
- Le PoC fonctionne malgré les correctifs de juillet 2026 : surveiller les tentatives d'accès aux ruches de registre administrateur dans les journaux d'événements.
- Restreindre l'accès à la gestion des profils utilisateur aux comptes ayant un besoin professionnel, réduisant ainsi la surface d'attaque.
- Examiner les permissions des fichiers usrclass.dat et ntuser.dat pour déceler les accès non autorisés à d'autres profils.
Autres actus importantes
- Coca-Cola indique qu'une attaque par ransomware contre Fairlife paralyse la production laitière aux États-Unis
- Une faille dans l'extension Claude Chrome permet à des extensions malveillantes de déclencher des actions IA
- Age of Empires II : une faille permettait de prendre le contrôle d’un PC via une partie multijoueur
- Plus de 20 sites gouvernementaux piratés sont devenus un canal d’attaque
Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️
À demain pour la prochaine veille 🔐 – Kilian de Cybere