Le schéma de ce matin est net : les attaquants gagnent en abusant de la couche de confiance autour du système — portail firewall, wrapper de sandbox, workflow collaboratif et page de connexion jugée familière.
En tête : verrouillez l’exposition du Captive Portal PAN-OS, corrigez immédiatement vm2 partout où du code non fiable s’exécute, relisez les incidents Teams et extorsion avec un angle espionnage, et traitez le phishing de conformité hébergé dans le cloud comme un vol de jetons, pas seulement de mots de passe.
Palo Alto indique que CVE-2026-0300 est un dépassement de tampon critique dans le portail d’authentification User-ID permettant une exécution de code root sans authentification sur des firewalls PA-Series et VM-Series exposés. L’exploitation a déjà commencé : si le portail est accessible depuis des IP non fiables, le risque est immédiat.
La faille vm2 CVE-2026-26956 permet une sortie de sandbox et une exécution de code sur l’hôte, avec PoC public déjà disponible. L’impact confirmé touche Node.js 25 dans certains contextes, mais la leçon dépasse ce cas : si votre produit exécute du JavaScript fourni par l’utilisateur, l’isolant fait partie du rayon d’explosion.
Les rapports liés à Rapid7 montrent que MuddyWater a utilisé Microsoft Teams, le partage d’écran, le vol d’identifiants, AnyDesk, DWAgent et des messages d’extorsion sans jamais déployer de chiffrement de fichiers. Chaos était le décor ; l’opération réelle visait l’accès, la persistance et l’exfiltration.
Microsoft a observé plus de 35 000 tentatives visant environ 13 000 organisations avec de faux avis internes, des PDF leurres, des CAPTCHA Cloudflare et des pages adversary-in-the-middle qui proxifient la connexion Microsoft. L’enjeu : le phishing AiTM contourne une MFA faible en capturant les jetons de session, pas seulement les mots de passe.
En bref : le motif du jour est l’inversion de confiance. Portails exposés, runtimes de sandbox, outils de collaboration et pages de connexion familières deviennent des surfaces d’attaque dès que l’enveloppe est prise pour le contrôle.
KENSAI aide les équipes à trouver les portails exposés, les sandboxes fragiles, les chemins d’accès à distance risqués et les flux d’identité qui s’effondrent sous un vrai phishing.
Lancer un scan gratuit →Restez affûtés.
🗡️ KENSAI Security Team