Drivers Vulnerability

Par Quarkslab

La technique BYOVD (Bring Your Own Vulnerable Driver) est largement utilisée en post-exploitation pour obtenir des capacités Ring-0, désactiver un EDR ou contourner PPL. Cette présentation détaille l'exploitation de plusieurs vulnérabilités (CVE-2025-8061) découvertes dans un driver Lenovo signé (LnvMSRIO.sys), depuis le reverse du driver jusqu'à l'élévation de privilèges sur Windows 11 24H2 via abus du registre MSR LSTAR. Voir l'article associé sur le blog Quarkslab.

Le GOAT : analyse dynamique de malware Windows

Par Pierre Marty — LORIA

Présentation de GoaTracer, une plateforme hybride d'analyse dynamique de binaires Windows développée au LORIA. Combinant instrumentation et introspection, GoaTracer reconstruit efficacement les graphes de flot de contrôle et les graphes d'appels de fichiers PE, tout en minimisant le ralentissement à l'exécution, en suivant le code obfusqué ou auto-modifiant, et en contournant les techniques anti-analyse pour offrir une vue complète du comportement d'un malware.

Tout système non testé est réputé ne pas fonctionner

Par Christophe Rieunier — CERT La Poste

Analyse de plusieurs solutions de sécurité (EDR, PEDM, SSE, ZTNA…) contribuant à la mise en œuvre du modèle Zero Trust. En 2021, l'ANSSI alertait sur les risques d'accroissement des vulnérabilités et de « faux sentiment de sécurité » liés à ce nouveau paradigme. Cinq ans plus tard, le Zero Trust est-il devenu la bête noire des attaquants, ou offre-t-il au contraire de nouvelles opportunités aux développeurs de malwares ?

Plugin DIMA

Par M82 Project

DIMA est un framework développé par le M82 Project pour analyser et détecter les manipulations de l'information et les attaques cognitives. Inspiré de MITRE ATT&CK et DISARM, il modélise une « Cognitive Kill Chain » en quatre phases (Détecter, Informer, Mémoriser, Agir) et identifie les tactiques et techniques d'exploitation des biais cognitifs. La présentation s'accompagne d'une démonstration de l'extension navigateur (Chrome et Firefox) qui permet d'analyser les pages web en temps réel.

Inside the F0124 : Reverse d'une solution commerciale de contournement des mécanismes de protection (RDP1) des STM32 à 15$

Par Mathieu Renard (@Gotohack) — Twisted Wires

Comment un simple dongle à 15$ permet-il d'extraire le firmware de microcontrôleurs STM32 pourtant protégés ? Cette présentation revient sur le reverse complet de cette solution, depuis l'analyse du logiciel Windows protégé (WinLicense/Themida) jusqu'à la compréhension du protocole et du fonctionnement matériel du dispositif.

Le NFC à longue distance (?!)

Une des sécurités de conception de la technologie NFC est basée sur la proximité nécessaire entre le tag et son lecteur. Est-ce toujours bien d'actualité ?…

Quid de la confiance dans le cadenas de votre browser web ?

Nous allons illustrer plusieurs scenarios vraisemblables où la confiance envers le cadenas affiché dans le navigateur est mise en défaut. Ensuite nous expliquerons comment mitiger cela.