Le briefing sécurité du jour regroupe trois signaux concrets : la CISA a signalé l’exploitation d’Apache ActiveMQ, Huntress voit des zero-days Windows d’élévation de privilèges divulgués dans de vraies intrusions, et Microsoft confirme des boucles de crash LSASS sur certains contrôleurs de domaine patchés.
Top line: Ce matin, tout est une question de séquencement défensif. Une faille est déjà exploitée, deux chemins d’élévation de privilèges Windows n’ont toujours pas de correctifs complets, et un patch officiel peut déstabiliser des contrôleurs de domaine dans certains environnements PAM. Les équipes sécurité doivent séparer patcher maintenant, contenir maintenant et suspendre le déploiement maintenant.
La CISA a ajouté CVE-2026-34197 au catalogue KEV après confirmation d’une exploitation active. La faille touche Apache ActiveMQ Classic, provient d’une validation d’entrée insuffisante et permet une exécution de code à distance par un utilisateur authentifié. Apache a corrigé le problème dans les versions 6.2.3 et 5.19.4, mais les brokers exposés restent une cible facile, Shadowserver suivant encore plus de 7 500 systèmes exposés à Internet.
Huntress observe les techniques BlueHammer, RedSun et UnDefend en conditions réelles. BlueHammer a été patché en avril, mais RedSun et UnDefend n’ont toujours pas de correctifs complets côté éditeur. L’activité observée comprend un utilisateur SSL VPN compromis suivi d’actions interactives de l’attaquant. Ce ne sont donc plus de simples PoC de chercheur sur GitHub.
Microsoft a confirmé que KB5082063 peut provoquer des crashs LSASS et des boucles de redémarrage sur certains contrôleurs de domaine non Global Catalog dans des environnements de Privileged Access Management. Un déploiement de sécurité routinier peut donc devenir un risque de panne d’identité. Le point critique : une authentification instable peut annuler les bénéfices d’un patch rapide.
Bottom line: Une défense mature, aujourd’hui, consiste à avancer à trois vitesses : patcher le broker exposé, traquer l’implant Windows et ralentir tout déploiement capable de mettre l’identité hors ligne.
KENSAI aide les équipes sécurité à vérifier les systèmes exposés, les chemins d’exploitation actifs et le risque opérationnel de déploiement avant que l’urgence ne provoque une panne évitable.
Lancer un scan gratuit →Restez affûté.
🗡️ KENSAI Security Team