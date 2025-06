Patch Tuesday de Microsoft : le commentaire de Tenable

juin 2025 par Satnam Narang, Senior Staff Research Engineer chez Tenable

« Le nombre de CVE corrigées en 2025 nous rapproche déjà de la moitié du total de l’année dernière, qui s’élevait à 1 009. À mesure que ce chiffre augmente chaque année, la pression sur les défenseurs du cyberespace pour atténuer efficacement ces vulnérabilités s’intensifie également. L’équipe Special Operations de Tenable Research est là pour fournir des renseignements exploitables.

Ce mois-ci, seules deux vulnérabilités zero day ont été répertoriées : l’une a été exploitée activement, l’autre a fait l’objet d’une divulgation publique.

Une des vulnérabilités zero day les plus notables exploitées activement est la CVE-2025-33053, une faille d’exécution de code à distance dans Web Distributed Authoring and Versioning (WebDAV), un protocole qui étend les fonctionnalités de HTTP pour permettre l’interaction avec des fichiers. Check Point Research a confirmé que le groupe Stealth Falcon a lancé une campagne de manipulation pour inciter les cibles à ouvrir un fichier .url malveillant, exploitant ainsi cette vulnérabilité pour exécuter du code. Il est rare d’observer une zero day signalée lors d’un Patch Tuesday et déjà exploitée à large échelle. En général, ces failles sont utilisées de façon plus discrète, afin de rester indétectées le plus longtemps possible. Cependant, toutes ne sont pas employées de manière furtive. Le précédent créé par des groupes comme Cl0p avec des outils de transfert de fichiers montre que certaines zero days peuvent se répandre très rapidement quand l’argent devient un moteur.

Ce mois-ci, Microsoft n’a pas corrigé BadSuccessor, une vulnérabilité zero day d’élévation de privilèges, malgré sa divulgation par les chercheurs d’Akamai le 21 mai, suivie de la publication de proof of concept, notamment une implémentation .NET appelée SharpSuccessor, intégrée à NetExec et BloodyAD. BadSuccessor n’affecte que les domaines Active Directory disposant d’au moins un contrôleur de domaine sous Windows Server 2025. C’est une configuration rare, que nous avons observée dans seulement 0,7 % des domaines AD selon un échantillon de nos données. Microsoft prévoit de corriger cette faille, mais pas ce mois-ci. Les organisations concernées devraient revoir les permissions accordées aux identités et les restreindre autant que possible.

Enfin, Microsoft a récemment mis à jour son avis concernant la CVE-2025-21204, une faille d’élévation de privilèges corrigée en avril. Dans le cadre de cette mise à jour, un dossier a été créé dans %systemdrive%\inetpub afin de « renforcer la sécurité ». Certains utilisateurs, inquiets de la présence d’un nouveau dossier, l’ont supprimé manuellement. Dans sa dernière mise à jour, Microsoft a publié un script de remédiation permettant de restaurer ce dossier avec les bonnes permissions et de mettre à jour les listes de contrôle d’accès (ACL). Il est recommandé aux utilisateurs ayant supprimé manuellement ce dossier d’exécuter le script officiel de Microsoft. »