Hello Tuesday text stamp, concept background

Patch Mardi Priories: Vulnérabilités dans SAP Netweaver et Microsoft NTLM et Hyper-V

Lucas Morel

Netweaver en tant que Java Hole, gravure nominale 10, permet à un attaquant non authentifié d’exécuter des commandes de système d’exploitation arbitraires, et le bogue NTLM est probablement évalué à l’exploitation, avertit les fournisseurs de sécurité.

Les CISO avec SAP Netweaver en tant que serveurs Java dans leur environnement devraient s’assurer que les administrateurs corrigent deux vulnérabilités très critiques dès que possible.

Ils sont parmi les correctifs mensuels du patch mensuel émis aujourd’hui par un certain nombre de fournisseurs.

La pire vulnérabilité de Netweaver, CVE-2025-42944, notée 10 sur l’échelle CVSS, est une vulnérabilité de désérialisation peu sûre dans le module RMI-P4 d’un déploiement AS Java.

« La vulnérabilité permet à un attaquant non authentifié d’exécuter des commandes de système d’exploitation arbitraires en soumettant une charge utile malveillante à un port ouvert », a noté des chercheurs en sécurité chez onapsis. « Un exploit réussi peut entraîner un compromis complet de la demande », ont-ils déclaré dans un blog.

En tant que solution de contournement temporaire jusqu’à ce que le correctif puisse être installé, les administrateurs doivent ajouter un filtrage du port P4 au niveau ICM pour empêcher les hôtes inconnus de se connecter au port P4.

Le deuxième pire netweaver sous le nom de Java Hole, avec un score CVSS de 9,9, est une vulnérabilité des opérations de fichiers précaires. Cette faille de service permet à un attaquant, authentifié en tant qu’utilisateur non administratif, de télécharger des fichiers arbitraires. Lors de l’exécution du fichier, le système peut être entièrement compromis. Perez-Etchegegen a noté que cette vulnérabilité peut être exploitée sur HTTP, ce qui, selon lui, le rend très critique. Cependant, cela nécessite un utilisateur authentifié pour l’exploiter, ajoutant un obstacle supplémentaire pour les attaquants.

Le besoin de correctif est également une vérification d’authentification manquante dans les applications NetWeaver exécutées sur la série IBM I pour fermer une vulnérabilité permettant aux utilisateurs non autorisés privilégiés de lire, de modifier ou de supprimer des informations sensibles, ainsi que d’accès administratifs ou de privilèges. Le trou est évalué 9,1 sur l’échelle CVSS.

Perez-Etchegoyen recommande aux CISO que leur personnel agisse le plus rapidement possible sur les correctifs les plus critiques d’aujourd’hui, ceux tagués CVSS 9.9 et 10.

Cependant, a-t-il ajouté, les huit hotnews et les billets de grande priorité sont également importants et doivent être triés, analysés et idéalement traités dès que possible.

Patchs Microsoft

Pendant ce temps, Microsoft a publié des correctifs pour 13 vulnérabilités critiques, y compris une journée zéro, dans le cadre de son effort de mardi de patch de septembre.

Pour la troisième fois cette année, Microsoft a corrigé plus d’élévation des vulnérabilités de privilèges que les défauts d’exécution du code distant, a noté que Satnam Narang, ingénieur de recherche en personnel senior chez Tenable, soulignant que près de la moitié de tous les bugs ce mois-ci sont des vulnérabilités d’escalade des privilèges. Beaucoup de ce type de défaut adressé à chaque patch mardi exige qu’un attaquant ait d’abord accédé à un système cible (post-compromis) avant de tenter d’élever les privilèges, a ajouté Narang.

Controverse sur la correction des SMB

L’une des vulnérabilités de la journée zéro correcée ce mois-ci est CVE-2025-55234, un défaut d’escalade de privilège dans le bloc de messages Windows Server (SMB) qui a déjà été divulgué publiquement. Dans certaines configurations, la faille pourrait rendre le serveur SMB sensible aux attaques de relais, a déclaré Microsoft. Ce correctif semble avoir été publié pour aider les clients à auditer et à évaluer leur environnement et à identifier les problèmes d’incompatibilité avant d’utiliser certaines des capacités de durcissement pour les serveurs SMB, a déclaré Narang.

Ce patch est un exemple de certains correctifs de septembre qui nécessitent des activités supplémentaires au-delà du déploiement, a commenté Mike Walters, président de Action1. Les organisations doivent d’abord déployer les mises à jour pour activer l’audit, puis évaluer la compatibilité avant de prendre des mesures de durcissement des serveurs SMB, qui incluent la signature et la mise en œuvre d’une protection étendue pour l’authentification. Les CISO devraient planifier une approche progressive du durcissement, couvrant l’évaluation, les tests et la mise en œuvre, pour éviter les perturbations commerciales, a conseillé Walters.

Cependant, Tyler Reguly, directeur associé de la R&D chez Fortra, a déclaré: «(cette liste) m’a fait faire une double prise» et aurait dû être rejeté par les autorités du CVE. «Nous savons que les attaques de relais sont possibles contre SMB et nous savons qu’il existe des mécanismes de durcissement disponibles pour aider à cela.

« En ce qui me concerne », a-t-il dit, « Microsoft nous a dit qu’ils avaient attribué un CVE non pas à cause d’une vulnérabilité, mais de sensibiliser à de nouvelles capacités d’audit qu’ils ont ajoutées pour aider à des mesures de protection. Si c’est le cas, c’est une mauvaise utilisation du système CVE. Si ce n’est pas le cas, alors Microsoft doit fournir une clarification très rapidement. »

Vulnérabilités dans Hyper-V

Les administrateurs de Windows devraient également faire attention à la réparation rapide de deux vulnérabilités (CVE-2025-54098 et CVE-2025-55224) dans l’hyperviseur Hyper-V Windows. Un contrôle accès inapproprié dans Hyper-V peut permettre à un attaquant autorisé d’élever les privilèges localement, a déclaré Microsoft.

Ces trous exigent une attention particulière de la part des CISOS gérant les centres de données d’entreprise, selon Walters of Action1. « Ces défauts d’évasion des invités pourraient mettre des hôtes de virtualisation entiers exécutant des charges de travail critiques en danger », a-t-il déclaré. «Les leaders de la sécurité devraient travailler en étroite collaboration avec les équipes de centre de données et de virtualisation pour appliquer ces correctifs rapidement dans les environnements de production.»

Une autre priorité pour les dirigeants de la sécurité des entreprises sur lesquels Walters a attiré l’attention est le CVE-2025-54918, une élévation Windows NTLM de la vulnérabilité des privilèges. NTLM est une suite de protocoles pour l’autorisation des utilisateurs. Avec un score CVSS de 8,8, le défaut affecte l’infrastructure d’authentification gérée de manière centrale et pourrait permettre aux attaquants d’obtenir des privilèges au niveau du système entre les réseaux, a-t-il déclaré. Microsoft l’a évalué comme «l’exploitation plus probable», a-t-il souligné, signalant une urgence plus élevée que d’autres vulnérabilités similaires moins susceptibles pour l’exploit. « Les équipes de sécurité doivent corriger rapidement les contrôleurs de domaine et les serveurs d’authentification, accélérant potentiellement les cycles de correctifs normaux pour ces systèmes critiques », a-t-il déclaré.

Depuis 2022, Microsoft a corrigé un certain nombre de vulnérabilités du système de fichiers NTFS dans Windows, a déclaré Narang de Tenable, avec la majorité de ces défauts, ce qui entraîne une divulgation d’informations ou une escalade de privilège. Cependant, ce mois-ci, Microsoft a corrigé sa deuxième vulnérabilité d’exécution de code distant dans NTFS en 2025. Le premier, CVE-2025-24993, a été corrigé en mars et a été exploité dans la nature comme un jour zéro. Bien que celui-ci ne semble pas avoir été exploité, il vaut toujours la peine de garder un œil sur, car NTFS est le système de fichiers principal utilisé par Windows, a déclaré Narang.

Vulnérabilité dans le pack HPC

Reguly de Fortra a signalé une vulnérabilité critique dans le pack Microsoft High Performance Compute (HPC) (CVE-2025-55232) qui pourrait permettre aux attaquants non autorisés d’exécuter du code sur le réseau. « Cela en fait une vulnérabilité CVSS 9.8 et à laquelle les gens doivent faire attention », a-t-il déclaré. Microsoft a fourni des étapes d’atténuation pour ceux qui ne peuvent pas mettre à jour immédiatement. Ceci est important, a déclaré Reguly, car la mise à jour de HPC Pack 2016 est de migrer vers HPC Pack 2019; Il n’y a aucun correctif pour HPC Pack 2016. « Heureusement, Microsoft a étiqueté cela comme une exploitation moins probable, avec une gravité d’importante », a-t-il dit, « mais c’est toujours quelque chose auquel vous voudrez prêter attention si vous avez le pack de calcul haute performance déployé dans votre environnement. »

Kevin Breen, directeur principal de la recherche sur les menaces chez Immersif, a noté que même aucune vulnérabilité de Microsoft ce mois-ci n’est marquée comme étant activement exploitée dans la nature, «cela ne signifie pas que les équipes de sécurité peuvent s’asseoir et reposer sur leurs lauriers. Patches; celles-ci sont communément appelées vulnérabilités des jours. »

Il estime que la vulnérabilité Windows NTLM mentionnée précédemment (CVE-2025-54918) devrait être élevée sur la liste des correctifs à appliquer, car il est marqué par Microsoft comme «l’exploitation plus probable».

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A young man in a white hat and a white and blue striped shirt juggles balls on a white background
La cybersécurité n’est pas sous-financée, elle est sous-gérée
Qui livre le Darknet | Chouette noire
Qui livre le Darknet | Chouette noire
Comment justifier vos investissements en sécurité
Comment justifier vos investissements en sécurité