Le défaut d’escalade du privilège dans le pilote Win23K affecte les versions plus anciennes de Windows et est l’une des six vulnérabilités zéro jour fixées par Microsoft dans son cycle de correctif de mars.
Microsoft a publié des correctifs pour 57 vulnérabilités au cours du cycle de correctif de ce mois, y compris pour six défauts qui ont des signes d’exploitation ou de divulgation dans le monde. L’un des exploits zéro-jours est utilisé dans les attaques depuis 2023 dans le cadre d’une campagne avec une porte dérobée appelée PipeMagic.
Aucune des six défauts zéro-jours n’est évalué comme critique par Microsoft, mais les 51 autres incluent six vulnérabilités d’exécution de code distant critique (RCE). Il convient de noter que Microsoft utilise son propre système de classement de gravité en plus des CVS.
Escalade des privilèges dans Win32K Driver
L’une des vulnérabilités du jour zéro, CVE-2025-24983, est une corruption de mémoire sans usage dans le sous-système du noyau Win32 qui peut entraîner une escalade de privilège. La faille a été signalée à Microsoft par des chercheurs du logiciel Antivirus ESET.
Les chercheurs de l’ESET ont déclaré que l’exploit avait été vu pour la première fois dans la nature en 2023, lorsqu’il a été déployé sur des ordinateurs via un programme de porte dérobée surnommé PipeMagic. Découvert pour la première fois en 2022, PipeMagic est un logiciel malveillant basé sur des plugins utilisé pour la première fois contre les organisations en Asie et l’année dernière contre des entités d’Arabie saoudite. Dans la dernière campagne, le malware a été distribué via une fausse application Chatgpt écrite en rouille.
« L’exploit cible Windows 8.1 et Server 2012 R2 », ont déclaré les chercheurs de l’ESET sur X. « La vulnérabilité affecte les OSE publiées avant Windows 10 Build 1809, y compris Windows Server 2016 toujours pris en charge. Il n’affecte pas les Os Windows plus récents tels que Windows 11. »
Bien qu’ils ne soient pas exploitables à distance, les défauts d’escalade des privilèges sont précieux pour les attaquants qui parviennent à inciter les utilisateurs à exécuter des logiciels malveillants car ils permettent une prise de contrôle complète du système, dans ce cas avec les privilèges système.
Vulnérabilités dans les pilotes du système de fichiers
Plusieurs des autres vulnérabilités zéro-jours sont liées au pilote Windows NT File System (NTFS). L’un est une faille d’exécution de code distante qui peut être déclenchée par le montage utilisateur d’un VHD spécialement conçu (disque dur virtuel) qui déclenche un débordement de tampon (CVE-2025-24993).
Une vulnérabilité similaire, CVE-2025-24985, qui peut être exploitée via un VHD malveillant est située dans le pilote du système de fichiers gras déclenchant un débordement entier qui conduit à une exécution arbitraire de code.
Deux autres vulnérabilités de zéro jour liées aux NTF peuvent entraîner une divulgation d’informations. L’un est à nouveau exploitable via VHDS (CVE-2025-24991) et un via les disques USB insérés dans l’ordinateur (CVE-2025-24984).
Un contournement de la fonctionnalité de sécurité exploité dans la nature a été corrigé dans la console de gestion Microsoft (CVE-2025-26633). L’exploitation nécessite une interaction utilisateur, c’est pourquoi Microsoft n’a pas jugé cela comme critique.
«Une exploitation réussie conduit à un résultat qui n’est pas spécifié par l’avis, mais comme la console de gestion Microsoft dispose d’un ensemble de fonctionnalités qui comprend la création, l’hébergement et la distribution d’outils personnalisés pour la gestion administrative du matériel et des logiciels pour toute version prise en charge de Windows, il est assez facile de voir pourquoi un attaquant pourrait être intéressé», les chercheurs de la société d’intelligence de vulnérabilité Rapid7 ont déclaré.
Le dernier jour zéro est un défaut sans utilisation sans l’accès à Microsoft (CVE-2025-26630) qui peut conduire à une exécution de code distante. L’exploitation de cette vulnérabilité nécessite que les utilisateurs ouvrent un fichier malveillant.
