Bienvenue aux Tech Alerts – mars 2026
Nous savons que votre temps est compté. C’est pourquoi nous avons créé ces Tech Alerts : pour ne vous transmettre que les alertes les plus critiques et à fort impact. Qu’il s’agisse d’un exploit de type « zero-day » nécessitant un correctif immédiat ou d’une nouvelle tendance en matière d’ingénierie sociale, notre objectif est de vous informer, de vous préparer et de vous donner une longueur d’avance.
Dans le briefing de ce mois :
- Cisco FMC — Unauthenticated RCE
- BYOVD — 54 EDR Killers exploiting 35 signed drivers
- Veeam Backup & Replication – RCE chain
- Microsoft Teams – A0Backdoor via DLL Sideloading
- OAuth Redirect Abuse — Malware targeting government organisations
Surveiller les menaces pour vous éviter d’avoir à le faire. Voici les éléments essentiels de ce mois.
TOP 5 – MARS 2026
1. Cisco FMC — Unauthenticated RCE
Faille de désérialisation Java dans l’interface web du Firewall Management Center.
Exploitée comme zero-day par le gang Interlock depuis janvier 2026, plus d’un mois avant le patch Cisco (4 mars).
Permet l’exécution de code arbitraire en root sans aucune authentification. Toolkit post-exploitation observé : RATs Java/JS, web shell résident en mémoire, proxies HTTP inverses, ConnectWise ScreenConnect.
2. BYOVD — 54 EDR Killers exploiting 35 signed drivers
Chargement de drivers légitimes vulnérables pour obtenir un accès Ring 0 (kernel).
Permet de terminer les processus EDR, de modifier les kernel callbacks et de désactiver les protections tout en restant dans le modèle de confiance des drivers signés Microsoft.
Déployé systématiquement comme étape pré-chiffrement dans les opérations ransomware modernes. (MITRE T1562.001)
3. Veeam Backup & Replication – RCE chain
Injection via paramètre « Interval » ou « Order » malformé permettant une RCE en tant que postgres, sans interaction utilisateur, via le réseau.
Trois CVEs annexes (CVSS 6.7–7.2) permettent en outre une RCE root via fichier de config et une écriture arbitraire de fichiers.
Affecté : VBR ≤ 13.0.1.180. Fixé dans 13.0.1.1071. Historique Veeam : exploitation ransomware quasi systématique dans les jours suivant la divulgation publique.
4. Microsoft Teams – A0Backdoor via DLL Sideloading
Chaîne d’attaque : flood de spam → usurpation support IT via Teams → accès distant via Quick Assist → MSI signé déployé depuis un stockage cloud Microsoft personnel.
Le MSI charge une hostfxr.dll malveillante qui déchiffre un shellcode en mémoire (AES, clé dérivée SHA-256) après détection sandbox.
Vecteur Teams encore largement absent des programmes de sensibilisation phishing.
5. OAuth Redirect Abuse — Malware targeting government organisations
Abus d’une fonctionnalité légitime OAuth : enregistrement d’une app malveillante dans un tenant contrôlé par l’attaquant, avec un redirect URL pointant vers une infrastructure rogue.
Lien distribué avec un scope invalide intentionnel → livraison d’une archive ZIP → PowerShell + DLL sideloading (steam_monitor.exe) → C2.
Certaines campagnes couplées à EvilProxy pour harvest de cookies de session (AitM).
Aucune vulnérabilité à patcher, la défense passe par l’audit des OAuth apps enregistrées dans Entra ID et la sensibilisation.