← Retour au blog
Briefing sécurité5 min de lecture2026-05-07

Briefing sécurité, 7 mai 2026 : zero-day PAN-OS, évasion de sandbox vm2, faux drapeau MuddyWater et phishing AiTM Microsoft

Le schéma de ce matin est net : les attaquants gagnent en abusant de la couche de confiance autour du système — portail firewall, wrapper de sandbox, workflow collaboratif et page de connexion jugée familière.


En tête : verrouillez l’exposition du Captive Portal PAN-OS, corrigez immédiatement vm2 partout où du code non fiable s’exécute, relisez les incidents Teams et extorsion avec un angle espionnage, et traitez le phishing de conformité hébergé dans le cloud comme un vol de jetons, pas seulement de mots de passe.


1. Le Captive Portal de PAN-OS est aujourd’hui le problème le plus urgent en bordure Internet

Palo Alto indique que CVE-2026-0300 est un dépassement de tampon critique dans le portail d’authentification User-ID permettant une exécution de code root sans authentification sur des firewalls PA-Series et VM-Series exposés. L’exploitation a déjà commencé : si le portail est accessible depuis des IP non fiables, le risque est immédiat.


2. vm2 rappelle qu’un JavaScript “sandboxé” n’est pas une frontière de sécurité suffisante

La faille vm2 CVE-2026-26956 permet une sortie de sandbox et une exécution de code sur l’hôte, avec PoC public déjà disponible. L’impact confirmé touche Node.js 25 dans certains contextes, mais la leçon dépasse ce cas : si votre produit exécute du JavaScript fourni par l’utilisateur, l’isolant fait partie du rayon d’explosion.


3. MuddyWater utilise le théâtre ransomware pour masquer un travail d’espionnage

Les rapports liés à Rapid7 montrent que MuddyWater a utilisé Microsoft Teams, le partage d’écran, le vol d’identifiants, AnyDesk, DWAgent et des messages d’extorsion sans jamais déployer de chiffrement de fichiers. Chaos était le décor ; l’opération réelle visait l’accès, la persistance et l’exfiltration.


4. La campagne de phishing “code of conduct” de Microsoft vole les jetons en temps réel

Microsoft a observé plus de 35 000 tentatives visant environ 13 000 organisations avec de faux avis internes, des PDF leurres, des CAPTCHA Cloudflare et des pages adversary-in-the-middle qui proxifient la connexion Microsoft. L’enjeu : le phishing AiTM contourne une MFA faible en capturant les jetons de session, pas seulement les mots de passe.


Ce que les équipes sécurité doivent faire avant midi

  1. Fermer ou restreindre en priorité les surfaces PAN-OS Captive Portal exposées.
  2. Corriger vm2 et revoir chaque chemin où clients ou employés exécutent du JavaScript sur des hôtes partagés.
  3. Faire entrer l’ingénierie sociale via Teams dans le même playbook que le phishing email et le vishing.
  4. Mettre l’accent en réponse phishing sur la révocation des jetons et la revue de session, pas seulement le reset de mot de passe.

Sources


En bref : le motif du jour est l’inversion de confiance. Portails exposés, runtimes de sandbox, outils de collaboration et pages de connexion familières deviennent des surfaces d’attaque dès que l’enveloppe est prise pour le contrôle.

Auditez les frontières de confiance réellement exploitées

KENSAI aide les équipes à trouver les portails exposés, les sandboxes fragiles, les chemins d’accès à distance risqués et les flux d’identité qui s’effondrent sous un vrai phishing.

Lancer un scan gratuit →

Restez affûtés.

🗡️ KENSAI Security Team