Je vous propose une synthèse sur les correctifs publié par Microsoft pour son Patch Tuesday de mai 2025 (mardi 13 mai), avec des correctifs pour 72 vulnérabilités, dont cinq failles zero-day exploitées activement et deux divulguées publiquement avant correctif.
Ce bulletin comprend également six vulnérabilités critiques, dont cinq permettant l’exécution de code à distance et une la divulgation d’information sensible. Ces failles touchent de nombreux produits Microsoft (Windows, Azure, Office, Visual Studio, etc.).
Vulnérabilités zero-day exploitées activement
Parmi les vulnérabilités corrigées, cinq failles zero-day faisaient l’objet d’exploitations actives avant leur correction.
Quatre d’entre elles sont des vulnérabilités d’élévation de privilèges locales affectant des composants cœur de Windows :
- le service Desktop Window Manager (CVE-2025-30400),
- le pilote Common Log File System (CLFS) (CVE-2025-32701 et CVE-2025-32706) et le pilote Ancillary Function Driver (AFD) de Windows Winsock (CVE-2025-32709).
Lorsqu’elles sont exploitées, ces failles permettent à un attaquant authentifié d’élever ses privilèges jusqu’au niveau SYSTEM sur la machine. La cinquième faille zero-day exploitée (CVE-2025-30397) est une vulnérabilité de corruption de mémoire (type confusion de types) dans le moteur de script, exploitable via un lien piégé ouvert dans un navigateur (Edge ou IE) pour exécuter du code à distance.
Microsoft indique que plusieurs de ces failles zero-day ont été découvertes en interne par son Microsoft Threat Intelligence Center (MSTIC).
D’autres ont été signalées par des chercheurs externes – notamment Benoit Sevens (Google Threat Analysis Group) et l’équipe CrowdStrike Advanced Research pour CVE-2025-32706 – tandis qu’une autre (CVE-2025-32709) a été rapportée de manière anonyme.
Vulnérabilités zero-day divulguées publiquement
En outre, deux vulnérabilités zero-day avaient été divulguées publiquement avant d’être corrigées ce mois-ci (sans indication d’exploitation active).
La première, CVE-2025-26685, est une faille d’usurpation d’identité dans Microsoft Defender for Identity. Elle permet à un attaquant non authentifié ayant accès au réseau local (LAN) de se faire passer pour un autre utilisateur. Cette vulnérabilité a été découverte par Joshua Murrell de la société NetSPI.
La seconde, CVE-2025-32702, est une vulnérabilité d’exécution de code dans Visual Studio, exploitable par un acteur non authentifié via une injection de commande locale. Microsoft n’a pas divulgué l’identité du découvreur de cette faille.
Plus de détails dans l’épisode spécial de RadioCSIRT (Podcast). Episode 289
On ne reféchit pas, On patch !©
Enjoy !
