Modèle «troublant» du nombre croissant de vulnérabilités d’exécution de code distantes, explique l’expert.
Les correctifs de mardi de ce mois-ci mettent en évidence un modèle troublant de trous d’exécution de code à distance (RCE) trouvés dans les produits Enterprise Core Enterprise de Microsoft, explique un expert.
«Cette tendance renforce la nécessité de stratégies de défense en profondeur qui s’étendent bien au-delà des correctifs», explique Mike Walters, président du fournisseur de gestion des patchs Action1.
Il a souligné plusieurs vulnérabilités RCE dans cette série de correctifs, notamment:
- une vulnérabilité d’exécution de code distant WebDAV (CVE-2025-33053), qui est déjà sous exploitation active;
- CVE-2025-47172, une vulnérabilité d’exécution de code distant dans le serveur Microsoft SharePoint. Avec un score CVSS de 8,8, il a déclaré que cette faille d’injection SQL pourrait permettre aux attaquants avec un minimum d’autorisations d’exécuter du code à distance, posant un risque grave pour la sécurité organisationnelle.
Walters a déclaré que les CISO devraient envisager d’accélérer l’adoption de l’architecture zéro-frust pour réduire les mouvements latéraux, améliorer les capacités de détection des comportements post-exploitation, réévaluer l’architecture de sécurité pour minimiser la dépendance à l’égard des défenses du périmètre et mettre en œuvre des politiques de contrôle des applications pour restreindre l’exécution du code non autorisé.
« Les efforts de gestion des patchs devraient être guidés par le paysage des menaces spécifiques d’une organisation », a-t-il ajouté. «Par exemple, ceux qui ont des instances SharePoint exposés externes devraient hiérarchiser la vulnérabilité de SharePoint RCE. Pendant ce temps, les organisations ayant de grands effectifs à distance devraient se concentrer sur les vulnérabilités WebDAV et Office, qui sont plus susceptibles d’être exploitées par le phishing et les liens malveillants.»
Et Salesforce a publié un certain nombre de correctifs après qu’un fournisseur de sécurité a découvert cinq vulnérabilités de cinq jours dans ses nuages de l’industrie.
Priorités Windows
La vulnérabilité d’exécution du code distant WebDAV (CVE-2025-33053) est déjà sous exploitation active, a noté Walters.
Avec un score CVSS critique de 8,8, il permet aux attaquants distants non authentifiés d’exécuter du code via des URL spécialement conçues, a-t-il déclaré. L’autre façon dont il pourrait être exploité est par le biais d’attaques de trou d’eau: les acteurs de la menace pourraient compromettre les sites Web légitimes et intégrer des liens Webdav malveillants, ciblant des organisations spécifiques ou des secteurs industriels.
Une fois que le compromis initial se produit via WebDAV, les attaquants peuvent déployer des exploits secondaires pour élever les privilèges, potentiellement au niveau du système, a-t-il expliqué. Une fois à l’intérieur d’un réseau, les attaquants peuvent utiliser cette vulnérabilité pour compromettre des systèmes supplémentaires en incitant les utilisateurs à cliquer sur des liens malveillants. Et après un compromis initial, les attaquants pourraient alors établir de la persistance dans les délais, permettant un accès continu même après le correctif de la vulnérabilité d’origine.
Étant donné que le trafic WebDAV passe sur HTTP / HTTPS (ports 80/443), il est difficile de le bloquer sans perturber le trafic Web légitime, a déclaré Walters.
Vulnérabilités de bureau
Il y a quatre vulnérabilités non corrigées ayant un impact sur Microsoft Office (CVE-2025-47167, CVE-2025-47164, CVE-2025-47162 et CVE-2025-47953).
En outre, a-t-il souligné que trois des quatre CVE ont été répertoriés comme exploitation plus probablement dans l’évaluation de l’exploitabilité de Microsoft.
Les CISO devraient également noter que Microsoft a averti que la distribution de la mise à jour de Windows 11, version 24h2 publiée mardi serait ralentie.
« Nous avons identifié un problème de compatibilité affectant un ensemble limité de ces appareils », a déclaré Microsoft. « Si votre appareil est affecté, vous recevrez une mise à jour révisée avec toutes les améliorations de la sécurité de juin 2025 d’ici la fin de la journée. La mise à jour de sécurité de juin 2025 est entièrement disponible pour toutes les autres versions prises en charge de Windows. »
Ben McCarthy, ingénieur en cybersécurité principale chez Immersive, a attiré l’attention sur CVE-2025-33071 (avec un score de 8,1), une vulnérabilité d’exécution du code proxy KDC Windows KDC (KPSSVC) qui affecte les serveurs Windows configurés comme centres de distribution Kerberos (KDC).
Les contrôleurs de domaine ne sont pas touchés dans ce cas, a-t-il ajouté.
Cette vulnérabilité découle d’un défaut du protocole cryptographique utilisé par le service. Un attaquant peut créer une application malveillante pour interagir avec le service vulnérable et exploiter cette faiblesse cryptographique.
« Alors que plusieurs vulnérabilités ont déjà été découvertes dans le service KDC », a déclaré McCarthy, « celui-ci se démarque en raison de sa nature en plusieurs étapes, qui implique d’exploiter un défaut cryptographique, de déclencher une condition de course et finalement d’atteindre un état après une utilisation.
Les vulnérabilités d’usage après sans dangereuses sont particulièrement dangereuses dans des systèmes complexes et multithreads comme le KDC, où la gestion des cycles de vie d’objets, le nettoyage de la mémoire et les threads simultanés introduisent des opportunités d’exploitation, a-t-il déclaré. Dans ce cas, l’attaquant exploite le synchronisation imprévisible de la désallocation des objets pour exécuter le code dans le service vulnérable, conduisant potentiellement à une exécution complète de code distant.
Notez également qu’aujourd’hui, Microsoft a publié une divulgation de vulnérabilité critique pour le copilote M365. Cependant, aucune action client n’est nécessaire.
Vulnérabilités SAP
La note de sécurité n ° 3600840 (CVSS 9.6) est destinée à Netweaver en ABAP. Les chercheurs de Pathlock ont déclaré que les attaquants authentifiés peuvent contourner l’objet d’autorisation S_RFC dans les appels TRFC / QRFC, permettant une escalade de privilège et un compromis potentiel du système. Les versions affectées comprennent le noyau 7.89, 7.93, 9.14 et 9.15.
« La recommandation clé est de déployer ce correctif immédiatement. » dit Pathlock, notant qu’après l’avoir appliqué, des autorisations supplémentaires S_RFC peuvent devoir être accordées. SAP Note # 3601919 fournit des conseils de configuration.
Vulnérabilités Salesforce
Enfin, Salesforce a émis CVES pour cinq des résultats des chercheurs d’Appomni. Les correctifs corrigent trois des jours zéro, tandis que les directives de configuration ont été émises pour les deux autres, qui nécessitent une action client. Il existe également 16 risques de configuration qui sont la responsabilité du client de s’adresser.
Les trous ont été trouvés par Aaron Costello, chef de la recherche sur la sécurité de l’AASS d’Appomni. «Ces résultats ont révélé comment les paramètres par défaut et certains modèles d’insécurité qui sont la responsabilité des clients de configurer et d’utiliser correctement peuvent conduire à un accès non autorisé aux champs cryptés, au vol de session, aux informations d’identification et à la logique commerciale, a-t-il déclaré dans un blog.
Ces résultats ont eu un impact sur les composants centraux comme Flexcards, les mappeurs de données et les procédures d’intégration, explique l’avis de Salesforce.
