Hello Tuesday text stamp, concept background

Résumé du Patch Tuesday 2025 : les plus grandes vulnérabilités Microsoft de l’année

Lucas Morel

Neuf CVE à fort impact ont été signalés par les professionnels de la sécurité comme étant les plus préoccupants.

Nous avons demandé à des experts en sécurité lequel de ces bugs les inquiétait le plus. Voici comment ils ont répondu.

Les nouvelles tactiques et l’IA changent la donne

Plus de vulnérabilités ont été détectées cette année qu’en 2024, déclare Gene Moody, directeur technique sur le terrain chez le fournisseur d’automatisation des correctifs Action1, une tendance à la hausse qui se poursuit depuis cinq ans.

Une chose est cependant différente : grâce à l’utilisation de l’IA par les acteurs malveillants, ainsi qu’à de nouvelles tactiques astucieuses, les équipes de sécurité ont moins de temps que jamais pour installer les correctifs.

« Les groupes d’attaquants feront des choses comme organiser leur première attaque jusqu’au jour du Patch Tuesday, car cela mettra Microsoft dans l’embarras : ils devraient publier une mise à jour massive hors bande ou attendre le prochain Patch Tuesday », a-t-il déclaré. « Donc, si vous attendez des cycles de 30 jours ou trimestriels pour appliquer un correctif, vous êtes en retard. Vous passez des semaines, voire des mois, sans protection, et (sans) aucune excuse pour l’être. »

« Vous devez corriger ce qui doit l’être, pas seulement ce qui peut l’être », a ajouté Moody. « Vous n’avez pas 30 jours pour effectuer des tests, planifier les temps d’arrêt. Vous n’avez plus le luxe de dire : ‘Nous allons mettre tout cela en œuvre en même temps.’ Vous devez dire : « Je vais d’abord éliminer ceux qui vont me tuer », et si vous automatisez cela (le lot initial), vous disposez de plus d’heures de travail pour analyser et scruter le reste.

Prenez, par exemple, l’une des failles les plus méchantes découvertes cette année, ToolShell (CVE-2025-53770), qui est en fait deux vulnérabilités enchaînées dans les serveurs SharePoint 2016/2019 sur site. Il permet à un attaquant non authentifié d’exécuter du code à distance. Il détient un score CVSS de 9,8 et son exploitation est devenue l’un des favoris des courtiers en accès initial.

Surveillez les vulnérabilités les moins bien notées

Plusieurs vulnérabilités moins bien notées auraient pu causer de graves dommages si elles n’étaient pas corrigées rapidement, a déclaré Moody. Ceux-ci comprenaient :

  • CVE 2025 24993, un problème de corruption de la mémoire Windows NTFS affectant par défaut presque tous les systèmes Windows, a permis l’exécution de code local par un attaquant non autorisé ;
  • CVE 2025 24990, une faille d’élévation de privilèges dans le pilote de modem Agere fourni avec Windows a permis aux attaquants d’accéder au niveau SYSTEM avec peu d’effort et sans qu’un modem Agere réel soit utilisé, transformant un accès limité en contrôle total ;
  • CVE 2025 62221, un bug d’utilisation après libération dans le pilote de mini-filtre de fichiers cloud Windows, a été activement exploité et a fourni un chemin fiable vers SYSTEM une fois l’exécution du code terminée. Même si cela nécessitait un accès initial, Moody souligne qu’il s’agissait d’un chemin très court vers un contrôle total, facile à exécuter, avec de faibles compétences requises ;
  • CVE 2025 53779, l’élévation de privilèges Kerberos BadSuccessor, menaçait de compromettre le niveau de domaine en permettant à tout compte authentifié par domaine d’élever ses privilèges en usurpant des jetons dans les environnements Active Directory. Dans un blog, Jack Bicer, directeur de la recherche sur les vulnérabilités d’Action1, a qualifié cette faille de « cadeau aux opérateurs de ransomwares… fournissant un ascenseur express à l’administrateur de domaine ».

Caveza a également attiré l’attention sur deux failles d’escalade de privilèges, CVE-2025-24983 dans le noyau Windows et CVE-2025-29824, dans le pilote du système de fichiers journaux commun de Windows, car toutes deux ont été utilisées avec la porte dérobée PipeMagic pour propager un ransomware.

Il a également noté

  • CVE-2025-26633, une vulnérabilité de contournement de fonctionnalité de sécurité affectant la Microsoft Management Console (MMC). Il s’agissait d’une vulnérabilité Zero Day exploitée par plusieurs acteurs malveillants pour déployer des logiciels malveillants, y compris le chargeur de cheval de Troie MSC EvilTwin, et a été utilisée avec plusieurs variantes de logiciels malveillants, notamment des portes dérobées et des logiciels malveillants infostealer ;
  • CVE-2025-33053, une vulnérabilité d’exécution de code à distance affectant les fichiers de raccourci Internet. Check Point Research a découvert que cette faille zero-day avait été exploitée par une APT connue sous le nom de Stealth Falcon, qui l’a utilisée pour distribuer le malware Horus Agent.

Méfiez-vous des attaques du volet de visualisation

Un exemple est CVE-2025-30377, que les chercheurs de ZeroPath ont qualifié de « l’une des vulnérabilités les plus dangereuses découvertes dans Microsoft Office » lors de sa révélation en mai.

Ces types d’attaques « représentent certains des risques les plus importants pour les organisations », a déclaré Reguly. « Ces exploits silencieux qui s’exécutent dès qu’un e-mail est consulté constituent un risque potentiel, car la plupart des gens utilisent le volet de visualisation. Bien qu’il puisse y avoir des vulnérabilités plus importantes et plus impactantes sur lesquelles je suis sûr que d’autres attireront l’attention, c’est la classe de vulnérabilité que je voudrais signaler et m’assurer que les autres surveillent. »

Le score CVSS n’est qu’une partie d’un puzzle

« En revanche, la version 6.2 est peut-être la version la plus critique que vous devez arrêter maintenant, car elle se trouve sur 10 000 serveurs Web orientés vers l’avant. »

VulnérabilitésSécuritéVulnérabilités du jour zéro

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway