SmartTools a publié des correctifs urgents pour son serveur de messagerie SmartMail après au moins deux vulnérabilités critiques affectant les versions précorrigées sont confirmées. L'un permet l'exécution à distance de code sans authentification, un échec qui, en termes pratiques, laisse le serveur exposé aux instructions malveillantes envoyées depuis Internet; l'autre facilite les attaques liées à l'authentification NTLM en utilisant des appels vers des ressources réseau.
Le premier échec, identifié comme CVE-2026-24423 et avec un score CVSS de 9.3, il affecte la méthode ConnectToHub du logiciel. Selon le dossier public, un attaquant peut inciter le service à se connecter à un serveur HTTP contrôlé par l'attaquant qui livre une commande système d'exploitation; si le serveur vulnérable l'exécute, l'attaquant peut exécuter un code arbitraire sur la machine touchée. La description officielle est disponible à CVE.org.
Les chercheurs de différentes organisations ont identifié et signalé la vulnérabilité : Sina Kheirkhah et Piotr Bazydlo de horlogèreTowr, Markus Wulftange de CODE WHITE GmbH et Cale Black de VulnCheck. Leurs constatations sont mentionnées dans les notes de recherche publique et les avis de sécurité de tiers, tels que la liste des divulgations de CODE BLANC et l'avis technique VulnCheck.
SmartTools a lancé la correction pour cette vulnérabilité dans le Construction 9511, publié le 15 janvier 2026. Il est important de souligner que le fonctionnement d'une URCE non authentifiée est particulièrement dangereux sur les serveurs de courrier, car ces logiciels traitent souvent des données sensibles et peuvent être directement liés à des infrastructures internes qui, si elles sont compromises, permettent des mouvements latéraux à l'intérieur du réseau.
En outre, l'entreprise a corrigé une autre vulnérabilité critique surveillée, comme CVE-2026-23760(également avec CVSS 9.3) qui a déjà été observé lors d'attaques réelles. En dehors de ces deux-là, une défaillance du milieu de gravité a été fermée, CVE-2026-25067(CVSS 6.9), qui n'est pas une URCE, mais qui permet la coercition des pouvoirs en résolvant les itinéraires réseau malveillants d'un point de vue non authentifié.
Dans le cas de CVE-2026-25067 le problème tourne autour de l'aperçu de l'image du jour (arrière-plan - du jour). L'application décode dans la base64 une entrée qui vient de l'extérieur et la traite comme une voie système sans validation adéquate. Dans les environnements Windows, cela permet de résoudre les routes UNC vers des équipements contrôlés par des attaquants, ce qui entraîne des tentatives d'authentification SMB. Ce comportement peut être exploité pour forcer les tentatives d'authentification NTLM, facilitant des techniques telles que le relais NTLM ou la coercition des identifiants; VulnCheck a documenté cette mécanique dans son alerte technique: VulnCheck - avis.
Pour consulter les notes officielles de SmartTools et confirmer les versions affectées et corrigées, la société conserve un registre des versions et correctifs où les bâtiments libérés sont détaillés: Outils intelligents - Notes de publication. Il est précisé que le Build 9518, publié le 22 janvier 2026, comprend des corrections supplémentaires liées à la coercition des routes et d'autres ajustements de sécurité.
Que peuvent et devraient faire les gestionnaires maintenant? L'essentiel est d'appliquer en priorité les mises à jour fournies par SmartTools : mettre à jour les correctifs intégrés réduit la fenêtre d'exposition. En outre, des mesures compensatoires devraient être appliquées pendant le déploiement des correctifs: limiter le trafic sortant dans les ports associés à SMB (par exemple, bloquer l'évacuation vers 139 / 445 ports), revoir les règles de pare-feu pour minimiser les connexions HTTP sortantes des serveurs de courrier et les enregistrements d'audit pour les connexions inhabituelles ou les tentatives répétées d'accès aux ressources distantes.
Il est également recommandé d'analyser les enregistrements de télémétrie et de serveur pour détecter les signes d'engagement préalable : processus qui lancent le système de manière inattendue, connexions sortantes à des serveurs inconnus ou modèles d'authentification SMB à des machines hors du contrôle de l'organisation. S'il y a suspicion d'intrusion, les machines en cause devraient être isolées et les procédures d'intervention en cas d'incident devraient être suivies pour identifier la portée et atténuer les mouvements latéraux.
L'apparition de deux vulnérabilités critiques en une courte période et la confirmation de l'exploitation active pour au moins l'un d'entre eux se souviennent que le logiciel de courrier demeure un vecteur attrayant pour les attaquants. Mettre à jour, surveiller et limiter les voies de communication inutiles sont des mesures simples mais efficaces pour réduire les risques jusqu'à ce que toutes les installations soient corrigées.
Si vous souhaitez consulter la documentation technique et les avis originaux, voici les liens cités : CVE.org, l'avis d'enquête VulnCheck, la liste des divulgations de CODE WHITE dans CODE BLANC, et les versions officielles notes de SmartTools dans Outils intelligents.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...