Hello Tuesday text stamp, concept background

Patch de février mardi: les CISO devraient agir maintenant sur deux vulnérabilités activement exploitées Windows Server

Lucas Morel

Selon les experts, selon les experts de LDAP et de NTLM, ainsi que les correctifs de vulnérabilités dans LDAP et NTLM, ainsi que Hyper-V.

Les CISO devraient s’assurer que deux vulnérabilités activement exploitées dans Windows sont abordées dans le cadre des efforts de mardi de mardi de février.

Ils sont:

  • CVE 2025-21391, une escalade de stockage Windows de la vulnérabilité des privilèges qui, si elle est exploitée, pourrait permettre à un attaquant de supprimer – mais pas de lire – des fichiers ciblés sur un système. Bien que cela ne conduirait pas à une perte de confidentialité des données, Microsoft note que cela aurait un impact majeur sur l’intégrité et la disponibilité des données.
    Un attaquant essayant d’accéder à un fichier basé sur un nom de fichier peut identifier un lien ou un raccourci qui se résout en une ressource involontaire. La complexité d’attaque est faible, explique Microsoft.
  • CVE 2025-21418, un pilote de fonction Windows auxiliaire pour l’escalade Winsock of Privilege Vulnerabilité due à un débordement de tampon. Un attaquant qui a réussi à exploiter cette vulnérabilité pourrait gagner des privilèges de système, prévient Microsoft.
    Windows Server 2008, 2012, 2016, 2019, 2022 et 2025.

De la paire, deux experts disent que le trou Winsock est plus sérieux.

«Avec l’accès au niveau du système, les attaquants pourraient installer des programmes, afficher, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits utilisateur complets, compromettant la sécurité et l’intégrité des systèmes d’entreprise», a noté Mike Walters, président du fournisseur de gestion des patchs Action1.

Tyler Reguly, directeur associé de la R&D de la sécurité à Fortra, a accepté. «Bien que les deux vulnérabilités soient notées importantes par Microsoft et ont des scores CVSS (Système de notation de vulnérabilité commun) dans la gamme 7.x, je traiterais les Windows AFD pour la vulnérabilité Winsock comme critique en ce qui concerne le correctif, étant donné qu’il a connu une exploitation active », A-t-il déclaré dans une interview.

Cette vulnérabilité a le potentiel de frapper les trois parties de la triade de la CIA (confidentialité, intégrité et disponibilité des données), a-t-il ajouté.

Microsoft n’a pas détaillé comment ni comment ces deux vulnérabilités sont exploitées.

« Chaque fois que vous (en tant que CISO), voyez quelque chose en exploitation active, vous voulez vous assurer que votre organisation réagit le plus rapidement possible », a déclaré Reguly.

Walters a également attiré l’attention sur CVE-2025-21376, une vulnérabilité d’exécution de code distant zéro jour dans le protocole d’accès au répertoire léger (LDAP) de Winserver. Bien qu’il ne soit pas encore exploité, et avec la complexité d’attaque décrite comme élevée, Microsoft note cette vulnérabilité comme critique.

« Il s’agit d’une vulnérabilité critique d’exécution de code distant qui affecte le service LDAP qui est intégré à Windows Active Directory », a déclaré Walters dans un e-mail. «Un attaquant non authentifié pourrait exploiter cette vulnérabilité sur le réseau pour exécuter du code arbitraire, conduisant potentiellement à un compromis complet du système. Étant donné qu’Active Directory est la base de l’authentification et de l’autorisation dans les réseaux d’entreprise, l’exploitation de cette vulnérabilité pourrait permettre aux attaquants d’accéder aux informations sensibles, de perturber les services et de pivoter à d’autres systèmes du réseau. »

L’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant gagne une condition de course, a noté Microsoft, ce qui se produit lorsque deux threads ou plus essaient de modifier les données partagées en même temps. Un attaquant non authentifié pourrait envoyer une demande spécialement conçue à un serveur LDAP vulnérable, a-t-il dit, et « une exploitation réussie pourrait entraîner un débordement de tampon qui pourrait être exploité pour réaliser l’exécution du code distant. »

Action1 a également attiré l’attention sur trois vulnérabilités zéro jour (CVE-2025-21335, CVE-2025-21334 et CVE-2025-21333) dans Windows Hyper-V NT Kernel Intégration Virtual Service (VSP).

Les organisations qui s’appuient sur Hyper-V comprennent des centres de données, des fournisseurs de cloud, des environnements informatiques d’entreprise et des plateformes de développement. «Un attaquant avec de faibles privilèges peut exécuter du code avec des privilèges système, prenant le contrôle du système hôte», a noté Action1. Les professionnels de l’INFOSEC dans les organisations qui utilisent Hyper-V devraient hiérarchiser le correctif pour ces vulnérabilités et surveiller une éventuelle activité inhabituelle.

Les correctifs de ce mois-ci comprenaient également un correctif (CVE-2025-21186) pour Microsoft Access et un pour Microsoft Dynamics 365 Sales (CVE-2025-21177).

Les CISO doivent également être conscients d’une correction pour une vulnérabilité de divulgation de hachage dans le NTLM (CVE-2025-21377). Jusqu’à présent, il n’a pas été exploité.

Cependant, Walters a noté que cette vulnérabilité se traduit par la divulgation des hachages NTLMV2 des utilisateurs lors d’une interaction minimale utilisateur, tels que un seul clic ou un clic droit d’un fichier malveillant. Il est considéré comme plus susceptible d’être exploité en raison de la divulgation publique.

« Les attaquants qui obtiennent des hachages NTLMV2 peuvent effectuer des attaques de passage, usurpant l’identité des utilisateurs pour obtenir un accès non autorisé aux ressources du réseau, compromettant potentiellement des données et des systèmes sensibles », a-t-il déclaré. «En plus d’appliquer le correctif, les CISO devraient évaluer l’utilisation de NTLM sur leurs réseaux, envisager de mettre en œuvre des mécanismes d’authentification plus forts tels que Kerberos et fournir une formation des utilisateurs pour empêcher les interactions avec des fichiers suspects.»

Les organisations varient encore considérablement dans leurs procédures de correction, a ajouté Reguly. Des départements INFOSEC plus matures testent les patchs dans leur laboratoire, les déploient et les analyses de vulnérabilité pour s’assurer que tout est corrigé. Les petites équipes ont du mal à trouver le temps de faire des tests, alors prenez plus de temps pour installer des correctifs et se laisser plus ouvert à l’attaque.

Les petites organisations devraient «respirer (lorsque les correctifs sont libérés), puis jeter un œil à vos outils (gestion des patchs et vulnérabilités)», a noté Reguly. «La plupart du temps, l’outillage joue un rôle important dans le fonctionnement d’une organisation. Il y a beaucoup de solutions à cocher qui sont moins chères sur papier et elles ne vous donnent peut-être pas la vue d’ensemble. « 

Les outils de gestion des correctifs indiqueront au CISO si un patch a été appliqué, a-t-il dit, mais les correctifs ne résolvent pas toujours une vulnérabilité ou ne disent pas si un système est correctement configuré. Les outils de gestion de la vulnérabilité garantissent qu’une vulnérabilité a vraiment été fermée, a-t-il déclaré.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

1887170134 attack surface programming abstract
Des packages NPM malveillants ont été trouvés pour créer une porte dérobée dans le code légitime
Les développeurs innovent le casino de New Virginia
Les développeurs innovent le casino de New Virginia
Trotz Hinweise: Oracle Demetier Cyberattacke
Trotz Hinweise: Oracle Demetier Cyberattacke