Les administrateurs sont invités à corriger immédiatement les vulnérabilités activement exploitées, y compris celles de l’ancien pilote de modem Agere dans Windows.
Les versions du Patch Tuesday d’octobre de Microsoft corrigeront 167 vulnérabilités, le nombre le plus élevé cette année, dont sept jugées critiques qui nécessitent une attention immédiate de la part des RSSI.
Par ailleurs, SAP a publié 13 nouvelles notes de sécurité, ainsi que quatre mises à jour de notes de sécurité précédemment publiées.
Parmi les failles critiques de Microsoft figurent :
WSUS RCE
CVE-2025-59287, qui pourrait permettre l’exécution de code à distance (RCE) dans le service de mise à jour Windows Server (WSUS). Il a reçu un score CVSSv3 de 9,8 et une note critique, et a été évalué comme « Exploitation plus probable » selon l’indice d’exploitabilité de Microsoft. Un attaquant pourrait exploiter cette vulnérabilité pour obtenir du RCE en envoyant un événement contrefait conduisant à une désérialisation de données non fiables.
Il ne s’agit que de la troisième vulnérabilité WSUS corrigée dans le cadre du Microsoft Patch Tuesday depuis 2023, souligne Tenable. Mais c’est le premier RCE et le premier à être évalué comme étant le plus susceptible d’être exploité.
« Cette vulnérabilité nécessite l’attention immédiate du RSSI car elle peut compromettre l’ensemble de votre infrastructure de gestion des correctifs », a déclaré Mike Walters, président d’Action1. « Il s’agit d’une faille de désérialisation critique (CVSS 9.8) dans WSUS qui menace le système responsable de la distribution des correctifs de sécurité à travers l’organisation.
Au-delà de l’application urgente de correctifs, les équipes doivent revoir l’architecture de gestion des correctifs et l’exposition réseau des serveurs WSUS, a-t-il ajouté. Un environnement WSUS compromis pourrait permettre aux attaquants de déployer des « mises à jour » malveillantes sur tous les points finaux gérés, ce qui constituerait une menace existentielle pour la sécurité de l’organisation ;
Microsoft Office RCE
CVE-2025-59227 et CVE-2025-59234, deux vulnérabilités critiques d’exécution de code à distance dans Microsoft Office.
Un attaquant pourrait exploiter ces failles via l’ingénierie sociale en envoyant un fichier de document Microsoft Office malveillant à une cible prévue, explique Tenable. Une exploitation réussie accorderait des privilèges d’exécution de code à l’attaquant.
Ces bogues profitent du « volet de visualisation », ce qui signifie que la cible n’a même pas besoin d’ouvrir le fichier pour qu’elle soit exploitée. Pour exécuter ces failles, un attaquant pourrait inciter une cible à prévisualiser un e-mail contenant un document Microsoft Office malveillant en pièce jointe.
Tenable note également que, bien qu’il soit signalé comme « moins probable » à exploiter, Microsoft affirme que le volet de prévisualisation est un vecteur d’attaque pour les deux CVE, ce qui signifie que l’exploitation n’exige pas que la cible ouvre le fichier.
Défauts du pilote du modem Agere
Bien que ces vulnérabilités soient jugées critiques, Satnam Narang, ingénieur de recherche senior chez Tenable, estime que les deux vulnérabilités les plus notables ce mois-ci concernent Agere Modem, un pilote de modem tiers inclus dans les systèmes d’exploitation Windows depuis près de 20 ans.
Pourquoi? Parce que l’un, CVE-2025-24990, est exploité dans la nature comme un jour zéro, et l’autre, CVE-2025-24052, a été divulgué publiquement avant la publication du correctif aujourd’hui. « Même si le modem n’est pas utilisé, il reste vulnérable à une exploitation, ce qui pourrait donner à un attaquant des privilèges d’administrateur », explique Narang.
« Le correctif de cette faille est révélateur », ajoute-t-il : Microsoft supprime le pilote ltmdm64.sys des systèmes d’exploitation Windows via la mise à jour cumulative d’octobre. Les administrateurs réseau qui utilisent encore le matériel du modem Agere constateront que ces appareils sont des arrêts de porte après avoir appliqué les mises à jour.
L’exploitation active de CVE-2025-24990 dans le pilote du modem Agere montre les risques de sécurité liés au maintien des composants existants dans les systèmes d’exploitation modernes », a commenté Ben McCarthy, ingénieur en chef en cybersécurité chez Immersive Labs. Les acteurs de la menace utilisent cette vulnérabilité comme deuxième étape de leurs opérations, a-t-il souligné.
La chaîne d’attaque commence généralement lorsque l’acteur prend un premier pied sur un système cible par le biais de méthodes courantes telles qu’une campagne de phishing, le vol d’identifiants ou l’exploitation d’une autre vulnérabilité dans une application publique. Ce pilote, qui prend en charge le matériel de la fin des années 1990 et du début des années 2000, est antérieur aux pratiques actuelles de développement sécurisé et est resté largement inchangé depuis des années. Les pilotes en mode noyau comme celui-ci fonctionnent avec les privilèges système les plus élevés, ce qui en fait une cible principale pour les attaquants cherchant à étendre leur accès, a déclaré McCarthy.
Trous dans Windows RasMan, processeur AMD Secure
L’autre faille sur laquelle Narang de Tenable attire l’attention est CVE-2025-59230, une vulnérabilité d’élévation de privilèges de type Zero Day dans Windows Remote Access Connection Manager (également connu sous le nom de RasMan), un service utilisé pour gérer les connexions réseau distantes via des réseaux privés virtuels (VPN) et des réseaux commutés, qui a également été exploitée dans la nature.
« Bien que RasMan soit un habitué du Patch Tuesday, apparaissant plus de 20 fois depuis janvier 2022, c’est la première fois que nous le voyons exploité dans la nature en tant que jour zéro », explique Narang.
Walters d’Action1 a également attiré l’attention sur CVE-2025-0033, une vulnérabilité dans le module Secure Processor de certains processeurs AMD. Un hyperviseur malveillant pourrait corrompre la table de mappage inversée (RMP) lors de l’initialisation de Secure Nested Paging (SNP), a déclaré AMD, entraînant potentiellement une perte de l’intégrité de la mémoire invité SEV-SNP. AMD a publié des mesures d’atténuation.
Les RSSI voudront peut-être demander à leurs équipes si elles utilisent des clusters basés sur AMD Confidential Computing (ACC) d’Azure, a ajouté Tyler Reguly, directeur associé de la recherche et du développement chez Fortra. Des correctifs pour ce trou sont actuellement en cours de développement, il n’existe donc aucun processus de résolution disponible pour le moment, a-t-il déclaré. Au lieu de cela, les clients doivent surveiller leurs alertes Azure Service Health pour surveiller les notifications leur indiquant qu’ils doivent supprimer leurs ressources ACC.
« Si vos équipes utilisent ACC, vous souhaiterez vous enregistrer régulièrement pour vous assurer qu’elles prêtent attention à cette notification de redémarrage, afin que vous sachiez finalement quand cette vulnérabilité divulguée publiquement sera résolue », a déclaré Reguly.
Faille critique des graphiques Windows
Il existe également une escalade critique de vulnérabilité de privilège dans le composant Microsoft Graphics qui, selon McCarthy d’Immersive, nécessite des correctifs prioritaires. Ce trou, CVE-2025-49708, est une évasion complète de machine virtuelle, a-t-il déclaré et a un score CVSS de 9,9. « Un exploit réussi signifie qu’un attaquant qui obtient un accès même avec de faibles privilèges à une seule machine virtuelle invitée non critique peut percer et exécuter du code avec les privilèges SYSTEM directement sur le serveur hôte sous-jacent. Cet échec d’isolation signifie que l’attaquant peut alors accéder, manipuler ou détruire les données sur toutes les autres machines virtuelles exécutées sur ce même hôte, y compris les contrôleurs de domaine critiques, les bases de données ou les applications de production. »
Plus de mises à jour Win10
Il est également rappelé aux administrateurs qu’aujourd’hui, le 14 octobre, est le dernier jour où les mises à jour de sécurité seront publiées pour les PC exécutant Windows 10. Aucune nouvelle mise à jour de sécurité ne sera distribuée aux utilisateurs à moins qu’ils ne soient inscrits au programme Extended Security Updates (ESU). La prise en charge de Long-Term Servicing Branch (LTSB) pour Windows 10 Enterprise 2015 LTSB et Windows 10 IoT Enterprise LTSB 2015 a également pris fin aujourd’hui.
Vulnérabilité dans le système d’exploitation IGEL
Kevin Breen, directeur principal de la recherche sur les menaces chez Immersive, a attiré l’attention sur CVE-2025-47827, une vulnérabilité de contournement de démarrage sécurisé dans IGEL OS, un système d’exploitation basé sur Linux qui fournit une infrastructure de bureau virtuel. Cette faille dans les versions antérieures à 11.0 est activement exploitée dans la nature, note Breen, les administrateurs devraient donc donner la priorité à ce correctif.
Une preuve de concept a été rendue publique depuis que cette vulnérabilité a été révélée en mai, a-t-il déclaré, il serait donc trivial pour les acteurs malveillants de l’exploiter comme une arme.
« Les impacts d’un contournement du démarrage sécurisé peuvent être importants », a-t-il déclaré, « car les acteurs malveillants peuvent déployer un rootkit au niveau du noyau, accéder au système d’exploitation IGEL lui-même et, par extension, altérer les bureaux virtuels, y compris en capturant les informations d’identification. Il convient de noter qu’il ne s’agit pas d’une attaque à distance et qu’un accès physique est généralement requis pour exploiter ce type de vulnérabilité, ce qui signifie que les attaques de type « méchante » sont les plus probables. vecteurs, affectant les salariés qui voyagent fréquemment.
Correctifs SAP
Suite à plusieurs correctifs pour des vulnérabilités critiques de désérialisation non sécurisées dans Netweaver AS Java au cours des derniers mois, SAP a déployé aujourd’hui une couche de protection supplémentaire. Il est détaillé dans la note de sécurité n° 3660659 et présente un score CVSS de 10,0. Il est également décrit dans une mise à jour du CVE-2025-42944 de septembre.
Selon le fournisseur de sécurité Onapsis, la couche de protection supplémentaire repose sur la mise en œuvre d’un filtre à l’échelle de la machine virtuelle Java qui empêche la désérialisation des classes dédiées. La liste des classes et packages recommandés à bloquer est divisée en sections obligatoires et facultatives.
« Le problème de la désérialisation, s’il n’est pas résolu, peut être exploité (et cela a été fait avec succès) pour fermer une entreprise et sa capacité à fonctionner », a prévenu Paul Laudanski, directeur de la recherche en sécurité chez Onapsis.
Si les administrateurs ne peuvent pas corriger ce problème immédiatement, les chercheurs de Pathlock conseillent d’isoler au niveau du réseau le protocole de communication Java P4/P4S à titre provisoire.
Onapsis note également que la note de sécurité SAP n° 3647332, étiquetée avec un score CVSS de 9,0, corrige une vulnérabilité de téléchargement de fichiers sans restriction dans SAP Supplier Relationship Management (SRM). En raison de l’absence de vérification du type ou du contenu du fichier, l’application permet à un attaquant authentifié de télécharger des fichiers arbitraires. Ces fichiers peuvent inclure des exécutables hébergeant des logiciels malveillants qui, une fois téléchargés et exécutés par l’utilisateur, pourraient avoir un impact important sur la confidentialité, l’intégrité et la disponibilité de l’application.
Un autre problème critique, noté 9,8, est une vulnérabilité de traversée de répertoire dans le service d’impression SAP, SAPSprint. Ce trou, CVE-2025-42937, est une validation de chemin insuffisante qui permet une traversée de répertoires distants non authentifiés et un écrasement potentiel de fichiers système. Il n’existe aucune solution de contournement, affirment les chercheurs de Pathlock, ces mises à jour doivent donc être déployées.
Parmi tous les correctifs SAP publiés aujourd’hui, les équipes de sécurité devraient donner la priorité aux services accessibles sur Internet et aux mises à jour au niveau du noyau, conseille Jonathan Stress de Pathlock, puis travailler sur les éléments de la couche application avec des atténuations ciblées et des tests de régression.
