La plus grande réunion annuelle de l’industrie offre des informations sur les cisos sur les dernières découvertes du chercheur en sécurité. De la sécurité du cloud aux vulnérabilités de l’IA, voici les problèmes de sécurité les plus remarquables de «Hacker Summer Camp».
Les développements transformationnels de la cybersécurité et de l’IA agentique étaient à l’avant et au centre lors des présentations et des annonces de produits chez Black Hat et Def Con à Las Vegas la semaine dernière.
Voici les meilleurs plats à retenir du camp d’été des pirates que les CISO devraient considérer tout en développant leurs stratégies de cybersécurité.
L’IA continue de créer de nouvelles avenues pour l’attaque
Les chercheurs en sécurité de Zenity ont présenté des chaînes de vulnérabilité qui exploitent les invites Rogue et affectent de nombreux assistants phares d’IA en entreprise, notamment Chatgpt, Gemini, Microsoft Copilot, etc. Certaines des soi-disant attaques d’agentflayer impliquent de inciter les utilisateurs à faire un mauvais clic tandis que d’autres fonctionnent sans aucune interaction utilisateur, ce qui en fait des attaques à 0 clic.
Par exemple, un exploit de preuve de concept développé par les chercheurs de Zenity a facilité les attaques contre les connecteurs ChatGpt, une technologie qui permet aux entreprises de relier le chatbot à des services de stockage de fichiers et de documents tiers.
Fournir aux utilisateurs peut être amené à télécharger et à demander un résumé d’un document piégé de Booby à partir de Chatgpt, une invite cachée est déclenchée qui recherche des clés d’API dans le compte Google Connected avant de transmettre ces informations sensibles à un attaquant potentiel.
Les systèmes qui relient les modèles de grandes langues (LLM) aux référentiels de données d’entreprise sont de plus en plus populaires. Lors d’une autre présentation chez Black Hat, David Brauchler, directeur technique du groupe NCC, a démontré comment ces systèmes ont ouvert de nouveaux mécanismes pour extraire les mots de passe.
La cause profonde du problème est un échec à attribuer des autorisations appropriées aux utilisateurs et aux données auxquelles ils accèdent, selon Brauchler, qui a appelé à l’application de principes de fiducie zéro aux environnements AI par, par exemple, en attribuant des étiquettes de confiance à toutes les données d’application.
Les coffres peuvent être ouverts
Des vulnérabilités critiques dans les coffrets d’accréation d’entreprise populaires ont été dévoilés par des chercheurs en sécurité de Cyata pendant Black Hat.
Les Secrets Vaults Store Credentials, les jetons et les certificats qui régissent l’accès aux systèmes, aux services, aux API et aux données tout en offrant des contrôles d’accès basés sur les rôles, des fonctions de rotation secrète et d’audit. Conçus pour l’intégration avec les outils DevOps, ces technologies font souvent partie intégrante des pipelines de développement de logiciels.
Sécurité des composants matériels méritant un examen plus approfondi
Les défauts du firmware qui sont expédiés avec plus de 100 modèles d’ordinateurs portables Dell ont menacé la sécurité des sous-composants matériels conçus pour sécuriser les données biométriques, les mots de passe et d’autres secrets.
Les chercheurs en sécurité de Cisco Talos ont utilisé Black Hat pour démontrer comment les défauts du micrologiciel ControlVault3 (CV) et les puces associées dans les ordinateurs portables Dell pourraient être utilisées pour contourner la connexion Windows étant donné un accès physique à un ordinateur portable vulnérable. Dans le scénario pire des cas, l’une des vulnérabilités découvertes par Cisco Talos permettrait aux attaquants de planter un implant malware capable de survivre même à une réinstallation du système d’exploitation.
Les cinq vulnérabilités ont été abordées par les mises à jour du pilote et du micrologiciel publiées par Dell entre mars et mai 2025.
Isolement multi-tension dans les systèmes cloud a été remis en question
La sécurité des systèmes basés sur le cloud est tombée sous les projecteurs de Black Hat avec une conversation sur la façon dont un protocole interne sans papiers dans Amazon Elastic Container Service (ECS) fonctionnant sur les hôtes EC2 était ouvert à l’exploitation.
En abusant du canal de communication de l’agent ECS avec le plan de contrôle via WebSocket, un attaquant peut récolter les informations d’identification IAM, le chercheur en sécurité Naor Haziz de Sweet Security a démontré.
Les attaquants auraient pu écraser les contrôleurs de domaine Windows et construire un botnet à l’aide de l’appel de procédure distante non authentifiée (RPC) et des vulnérabilités de protocole d’accès au répertoire léger (LDAP).
L’attaque rompt les hypothèses d’isolement des conteneurs sur ECS EC2, permettant l’escalade des privilèges et le mouvement latéral dans l’environnement des nuages. Les conteneurs partageant une instance EC2 sont effectivement dans le même domaine de confiance à moins que les utilisateurs n’appliquent l’isolement, a démontré la recherche. AWS recommande d’adopter des modèles d’isolement plus forts tels que Fargate comme contre-mesure.
Windows Research découvre un nouveau vecteur de botnet
Au cours de Def Con, des chercheurs en sécurité de SafeBreach ont détaillé le nouveau déni de service (DOS) et des techniques d’attaque de déni de service (DDOS) distribuées contre les systèmes Windows surnommés Win-DDOS.
L’attaque implique des contrôleurs de domaine qui écrasent à distance ou d’autres points de terminaison Windows sur les réseaux internes, en utilisant le cadre RPC combiné à un ensemble de vulnérabilités en clic zéro affectant les services Windows.
La découverte a fait partie d’une recherche de suivi sur une vulnérabilité précédente Windows LDAP RCE, LDAPnightMare, comme indiqué précédemment.
