Hello Tuesday text stamp, concept background

Patch mardi pour mai: cinq vulnérabilités zéro jour Les CISO devraient se concentrer sur

Lucas Morel

Cinq des vulnérabilités Microsoft 70 déjà attaquées, et les défauts SAP et Zoom sont également critiques.

Les CISO doivent prêter attention à la correction de cinq vulnérabilités de Windows zéro jour et deux autres trous avec des exploits de preuve de concept disponibles parmi les 70 correctifs publiés aujourd’hui par Microsoft dans ses versions de mai mardi.

  • Une vulnérabilité de corruption de la mémoire du moteur de script (CVE-2025-30397) est une journée nul étant activement exploitée. Il permet l’exécution du code distant via la confusion de type dans le moteur de script Microsoft. Il affecte le mode Internet Explorer dans Microsoft Edge, qui est toujours largement utilisé pour la compatibilité héritée.
    « Bien que l’interaction des utilisateurs soit requise, la livraison par des liens de phishing ou des e-mails reste un risque clé », a déclaré Walters. «Les CISO devraient renforcer la sensibilisation aux utilisateurs concernant le phishing et implémenter un filtrage robuste de contenu Web et des contrôles de sécurité par e-mail;»
  • Windows Common Log File System (CLFS) Élévation du pilote des vulnérabilités de privilège zéro jour (CVE-2025-32701 et CVE-2025-32706).
    Les deux vulnérabilités sont activement exploitées dans la nature, a déclaré Walters, permettant aux attaquants d’obtenir des privilèges au niveau du système. « Comme CLFS est un composant central dans toutes les versions Windows prises en charge, le risque couvre la plupart des environnements d’entreprise », a-t-il déclaré « en plus du correctif, les CISO devraient examiner les politiques de gestion des privilèges et surveiller l’activité anormale qui peut signaler les tentatives d’exploitation; »
  • Deux vulnérabilités d’exécution du code distant Microsoft Office (CVE-2025-30386 et CVE-2025-30377).
    Les deux vulnérabilités permettent l’exécution du code distant sans interaction utilisateur, y compris via le volet d’aperçu dans Outlook, a noté Walters. Les attaquants exploitent des défauts de gestion de la mémoire pour exécuter du code arbitraire, posant un risque important étant donné l’ubiquité de l’entreprise de Microsoft Office, a-t-il déclaré. «Le correctif seul peut ne pas suffire – les CISO devraient désactiver le volet de prévisualisation dans la mesure du possible et renforcer les politiques contre l’ouverture des documents non sollicités;»
  • Client de bureau et service de passerelle Remote Vulnérabilités du code distant (CVE-2025-29966 et CVE-2025-29967).
    Ces vulnérabilités affectent les services d’accès à distance, qui sont essentiels pour le travail à distance et l’administration informatique, permettant l’exécution de code arbitraire sur les systèmes clients et serveur. L’exploitation peut se produire via le phishing ou par l’usurpation DNS qui dirige les utilisateurs vers des serveurs RDP malveillants, a souligné Walters. « Les CISO devraient aller au-delà des correctifs en appliquant des contrôles stricts sur l’utilisation du RDP, en permettant une authentification au niveau du réseau et en surveillant l’activité suspecte du RDP », a-t-il déclaré.

Crier des sommets des collines?

« Beaucoup de gens vont crier des sommets des collines aujourd’hui sur les quatre vulnérabilités critiques et une importante vulnérabilité (en Azure) qui ont tous marqué au-dessus d’un CVSS 9.0 », a déclaré Tyler Reguly, directeur associé de la R&D de sécurité à Fortra. «Je pense que ces gens attirent l’attention sur le mauvais endroit. Les quatre vulnérabilités critiques étaient déjà corrigées par Microsoft.»

Puisqu’il n’y a aucune action qui lui est requise, il a déclaré: «Il n’y a aucune raison d’attirer l’attention de chacun sur eux. Au lieu de cela, attirons les gens sur les endroits où ils peuvent agir et faire une différence dans la posture de sécurité de leur environnement. Cela nous laisse la seule vulnérabilité importante qui a évalué un 9.8, qui est publié à la mise à jour de leur image.

Quant aux cinq vulnérabilités exploitées, « c’est vraiment plus des mêmes choses que nous voyons chaque mois », a-t-il déclaré.

En plus des vulnérabilités recommandées par Walters, il a mis en évidence le CVE-2025-30400, une vulnérabilité de Microsoft DWM qui pourrait permettre une élévation du privilège au système.

Vulnérabilités divulguées publiquement

Deux défauts publiquement divulgués dans les produits Microsoft qui ne se préoccupaient pas sont:

  • CVE-2025-32702, une neutralisation incorrecte des éléments spéciaux utilisés dans une commande («injection de commande») dans Visual Studio qui permet à un attaquant non autorisé d’exécuter le code localement.
  • CVE-2025-26685, une vulnérabilité qui permet à un attaquant non autorisé d’effectuer une usurpation sur un réseau adjacent et de tromper Microsoft Defender. Il n’y a pas de mise à jour disponible.

‘Pas d’urgence’

Johannes Ullrich, doyen de la recherche au Sans Institute, ne pense que les correctifs publiés sont considérés comme une urgence. Au lieu de cela, a-t-il déclaré, les CISO devraient s’assurer que les correctifs sont déployés conformément à leur programme de gestion de la vulnérabilité. En particulier, les tests que les correctifs ont été appliqués correctement sont importants.

Il y a une vulnérabilité intéressante déjà exploitée, a-t-il dit: CVE-2025-30397. Cette vulnérabilité (détaillée ci-dessus par Walters) n’est exploitable que si Microsoft Edge fonctionne en mode «Internet Explorer». Par défaut, Edge ne fonctionne pas en mode Explorer Internet, mais il peut y avoir des cas, en particulier sur les postes de travail utilisés par les administrateurs et les développeurs système, où il est approprié d’activer ce mode, a déclaré Ullrich. La gestion de la configuration doit être utilisée pour empêcher que cela ne se produise, sauf s’il est spécifiquement requis pour un cas d’utilisation particulier, a-t-il déclaré.

« Heureusement », a ajouté Ullrich, « la vulnérabilité qui, à mon avis, a le plus de » potentiel « pour les attaquants, CVE-2025-29831, n’est exploitable que tandis que le service RDP est redémarré. À moins que l’attaquant ne soit en mesure de déclencher un redémarrage, cette vulnérabilité ne sera probablement pas exploitable. Mais il met encore à nouveau l’importance des serveurs RDP ».

Sève, patchs zoom

Séparément, SÈVE publié 18 notes de sécurité allant des problèmes d’autorisation critiques à l’exécution du code distant, à la divulgation d’informations et aux scripts croisés.

Jonathan Stross, analyste SAP Security chez Pathlock, a déclaré dans un blog qu’ils incluent deux défauts particulièrement dangereux dans Netweaver Visual Composer, tous deux avec des scores CVSS de plus de 9,0. Il existe également des vulnérabilités critiques présentes dans SAP S / 4HANA, les objets commerciaux et le cockpit d’enchères en direct.

  • CVE-2025-31324, une vérification d’autorisation manquante dans SAP NetWeaver Visual Composer.
    La vulnérabilité critique (CVSS 10.0) dans Visual Composer permet aux utilisateurs non authentifiés de télécharger des exécutables malveillants sur le serveur de développement de la suite. S’il est exploité, cela peut conduire à un compromis système complet, y compris le vol de données et les perturbations du service, a écrit Stross. Le correctif s’applique à VCFramework 7.50 et doit être implémenté immédiatement. Cette note met à jour une version du jour du patch avril 2025.
  • Le CVE-2025-42999, une désérialisation incertaine dans Visual Composer, est une vulnérabilité distincte mais connexe (CVSS 9.1) qui permet aux utilisateurs privilégiés d’exploiter la désérialisation non sécurisée et de réaliser potentiellement du code malveillant sur le système hôte. SAP a supprimé la logique de désérialisation vulnérable et recommande l’intégration facultative avec l’interface de scan virus (VSI), a écrit Stross. Les organisations utilisant NetWeaver Visual Composer doivent appliquer ce patch en parallèle avec CVE-2025-31324, a-t-il ajouté.
  • Le CVE-2025-30018 couvre cinq vulnérabilités avec des scores CVSS jusqu’à 8,6 dans le cockpit de vente aux enchères SAP SRM Live. Ceux-ci proviennent des applets Java obsolètes et peuvent être exploités sans authentification. Notes de Stross. Les organisations utilisant SRM 7.14 devraient incomber les composants de l’applet Java et suivre les conseils de note SAP pour les configurations sûres, a-t-il déclaré.
  • CVE-2025-43010, une injection de code dans SAP S / 4HANA SCM Master Data Layer, a un score CVSS de 8,3. Il permet aux utilisateurs peu privilégiés d’injecter à distance le code ABAP qui peut modifier ou détruire les programmes système. Le module de fonction vulnérable a été obsolète. Les touches concernées sont à la fois sur site et les installations de cloud privés sur plusieurs versions S4Core et SCM_BASIS.

Zoom Divulgué sept vulnérabilités dans ses applications de réunion de travail – une sévérité élevée – qui présentent des risques importants tels que l’escalade des privilèges, le déni de service (DOS) et l’exécution du code distant.

« Les cyber-professionnels envisagent la nécessité d’une fausse détection et de prévention profondes sur les réunions virtuelles aujourd’hui, a déclaré Jim Routh, directeur de la confiance chez Saviynt. » Il s’avère que les défauts / vulnérabilités logicielles annoncés récemment dans Zoom Workplace sont beaucoup plus critiques à ce moment-là. « 

«Les vulnérabilités DOS et d’exécution de code distantes ont le potentiel de perturbation commerciale importante avec le potentiel d’exploits de ransomwares», a-t-il ajouté. «La résilience des logiciels pour les sociétés de logiciels d’entreprise est réalisable avec plus d’échéance dans le processus de développement pour identifier et résoudre les conditions de course.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Des exploits Zero Day ont frappé les systèmes Cisco ISE et Citrix dans le cadre d’une campagne avancée
Digital twins combine with AI
Combattre l’IA avec l’IA : robots antagonistes contre chasseurs de menaces autonomes
Back behind view photo of dark skin programmer lady look big monitor check id-address work overtime check debugging system wear specs casual shirt sit table late night office indoors
Une vulnérabilité copier-coller frappe les cadres d’inférence d’IA de Meta, Nvidia et Microsoft