Microsoft a lancé 2025 avec une nouvelle série de correctifs pour un total de 161 vulnérabilités de sécurité dans son portefeuille de logiciels, dont trois vulnérabilités zéro jour qui ont été activement exploitées lors d’attaques.
Sur les 161 failles, 11 sont classées critiques et 149 sont classées importantes en termes de gravité. Une autre faille, une CVE non-Microsoft liée à un contournement du démarrage sécurisé de Windows (CVE-2024-7344), n’a reçu aucune gravité. Selon la Zero Day Initiative, cette mise à jour marque le plus grand nombre de CVE résolues en un seul mois depuis au moins 2017.
Les correctifs s’ajoutent aux sept vulnérabilités corrigées par le fabricant de Windows dans son navigateur Edge basé sur Chromium depuis la publication des mises à jour du Patch Tuesday de décembre 2024.
Parmi les correctifs publiés par Microsoft, on trouve un trio de failles dans le VSP d’intégration du noyau Windows Hyper-V NT (CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335, scores CVSS : 7,8) que la société a déclaré. a fait l’objet d’une exploitation active à l’état sauvage –
« Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM », a déclaré la société dans un avis concernant les trois vulnérabilités.
Comme c’est l’habitude, on ne sait pas encore comment ces lacunes sont exploitées, ni dans quel contexte. Microsoft ne fait pas non plus mention de l’identité des acteurs de la menace qui les utilisent comme arme ni de l’ampleur des attaques.
Mais étant donné qu’il s’agit de bogues d’élévation de privilèges, ils sont très probablement utilisés dans le cadre d’une activité post-compromise, où un attaquant a déjà accédé à un système cible par d’autres moyens, a souligné Satnam Narang, ingénieur de recherche senior chez Tenable. .
« Le fournisseur de services de virtualisation (VSP) réside dans la partition racine d’une instance Hyper-V et fournit une prise en charge des périphériques synthétiques aux partitions enfants via le bus de machine virtuelle (VMBus) : c’est la base sur laquelle Hyper-V permet à la partition enfant de se tromper en pensant qu’il s’agit d’un véritable ordinateur », a déclaré Adam Barnett, ingénieur logiciel principal de Rapid7, à The Hacker News.
« Étant donné qu’il s’agit tout simplement d’une limite de sécurité, il est peut-être surprenant qu’aucune vulnérabilité VSP d’intégration du noyau Hyper-V NT n’ait été reconnue par Microsoft jusqu’à aujourd’hui, mais il ne serait pas du tout choquant si d’autres vulnérabilités émergeaient. »
L’exploitation des VSP d’intégration du noyau Windows Hyper-V NT a également conduit l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à les ajouter à son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à appliquer les correctifs d’ici le 4 février 2025.
Par ailleurs, Redmond a averti que cinq des bugs sont publiquement connus :
Il convient de noter que CVE-2025-21308, qui pourrait conduire à une divulgation inappropriée d’un hachage NTLM, a été précédemment signalé par 0patch comme contournement de CVE-2024-38030. Des micropatchs pour cette vulnérabilité ont été publiés en octobre 2024.
En revanche, les trois problèmes de Microsoft Access ont été attribués à Unpatched.ai, une plateforme de découverte de vulnérabilités guidée par l’IA. Action1 a également noté que même si les failles sont classées comme vulnérabilités d’exécution de code à distance (RCE), leur exploitation nécessite qu’un attaquant convainque l’utilisateur d’ouvrir un fichier spécialement conçu.
La mise à jour se distingue également par la correction de cinq failles de gravité critique :
- CVE-2025-21294 (score CVSS : 8,1) – Vulnérabilité d’exécution de code à distance d’authentification Microsoft Digest
- CVE-2025-21295 (score CVSS : 8,1) – Vulnérabilité d’exécution de code à distance du mécanisme de sécurité de négociation étendue SPNEGO (NEGOEX)
- CVE-2025-21298 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance de liaison et d’incorporation d’objets Windows (OLE)
- CVE-2025-21307 (score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance du pilote de transport multidiffusion fiable Windows (RMCAST)
- CVE-2025-21311 (score CVSS : 9,8) – Vulnérabilité d’élévation de privilèges Windows NTLM V1
« Dans un scénario d’attaque par courrier électronique, un attaquant pourrait exploiter la vulnérabilité en envoyant un courrier électronique spécialement conçu à la victime », a déclaré Microsoft dans son bulletin CVE-2025-21298.
« L’exploitation de la vulnérabilité pourrait impliquer soit qu’une victime ouvre un e-mail spécialement conçu avec une version affectée du logiciel Microsoft Outlook, soit que l’application Outlook d’une victime affiche un aperçu d’un e-mail spécialement conçu. Cela pourrait amener l’attaquant à exécuter du code à distance sur le compte de la victime. machine. »
Pour se prémunir contre cette faille, il est recommandé aux utilisateurs de lire les messages électroniques au format texte brut. Il conseille également d’utiliser Microsoft Outlook pour réduire le risque que les utilisateurs ouvrent des fichiers RTF provenant de sources inconnues ou non fiables.
« La vulnérabilité CVE-2025-21295 dans le mécanisme de sécurité SPNEGO Extended Negociation (NEGOEX) permet à des attaquants non authentifiés d’exécuter du code malveillant à distance sur les systèmes concernés sans interaction de l’utilisateur », a déclaré Saeed Abbasi, responsable de la recherche sur les vulnérabilités chez Qualys Threat Research Unit.
« Malgré une complexité d’attaque élevée (AC:H), une exploitation réussie peut compromettre entièrement l’infrastructure de l’entreprise en sapant une couche de mécanisme de sécurité de base, conduisant à des violations potentielles de données. Comme aucune information d’identification valide n’est requise, le risque d’un impact généralisé est important, mettant en évidence le besoin de correctifs immédiats et d’atténuation vigilante.
En ce qui concerne CVE-2025-21294, Microsoft a déclaré qu’un acteur malveillant pourrait exploiter cette vulnérabilité en se connectant à un système qui nécessite une authentification Digest, en déclenchant une condition de concurrence critique pour créer un scénario d’utilisation après libération, puis en l’exploitant pour exécuter du code arbitraire. .
« Microsoft Digest est l’application chargée d’effectuer l’authentification initiale lorsqu’un serveur reçoit la première réponse de défi d’un client », a déclaré Ben Hopkins, ingénieur en cybersécurité chez Immersive Labs. « Le serveur fonctionne en vérifiant que le client n’a pas déjà été authentifié. CVE-2025-21294 implique l’exploitation de ce processus pour permettre aux attaquants de réaliser l’exécution de code à distance (RCE). »
Parmi la liste des vulnérabilités étiquetées comme étant les plus susceptibles d’être exploitées figure une faille de divulgation d’informations affectant Windows BitLocker (CVE-2025-21210, score CVSS : 4,2) qui pourrait permettre la récupération d’images d’hibernation en texte clair en supposant qu’un attaquant est capable d’accéder physiquement au disque dur de la machine victime.
« Les images d’hibernation sont utilisées lorsqu’un ordinateur portable se met en veille et contiennent le contenu qui était stocké dans la RAM au moment où l’appareil s’est éteint », a déclaré Kev Breen, directeur principal de la recherche sur les menaces chez Immersive Labs.
« Cela présente un impact potentiel important, car la RAM peut contenir des données sensibles (telles que des mots de passe, des informations d’identification et des informations personnelles) qui peuvent se trouver dans des documents ouverts ou des sessions de navigateur et qui peuvent toutes être récupérées avec des outils gratuits à partir de fichiers d’hibernation. »
Correctifs logiciels d’autres fournisseurs
Outre Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :