Microsoft a publié son Patch Tuesday du 12 mars 2025, apportant des correctifs pour 57 vulnérabilités, dont sept zero-day. Parmi elles, six sont activement exploitées, ce qui en fait une mise à jour de sécurité prioritaire pour les administrateurs et équipes IT.
Synthèse des vulnérabilités
Ce Patch Tuesday comprend :
- 23 vulnérabilités d’élévation de privilèges
- 23 vulnérabilités d’exécution de code à distance (RCE)
- 4 vulnérabilités de divulgation d’information
- 3 vulnérabilités de contournement de sécurité
- 3 vulnérabilités d’usurpation (spoofing)
- 1 vulnérabilité de déni de service (DoS)
En complément, six failles critiques permettent une exécution de code à distance (RCE), touchant des services clés comme Windows DNS, Remote Desktop Services et Microsoft Office.
Les vulnérabilités zero-day exploitées
Parmi les sept failles zero-day corrigées, six sont activement exploitées :
1. CVE-2025-24983 – Win32 Kernel Subsystem (Élévation de privilèges)
Un attaquant local peut exploiter une condition de course pour obtenir des privilèges SYSTEM. Cette vulnérabilité est critique, car elle peut être intégrée dans des chaînes d’attaque plus complexes.
2. CVE-2025-24984 – Windows NTFS (Divulgation d’information)
L’attaque repose sur l’insertion d’une clé USB malveillante permettant d’extraire des données sensibles depuis la mémoire système.
3. CVE-2025-24985 – Windows Fast FAT File System Driver (Exécution de code à distance)
Cette faille est causée par un integer overflow/wraparound dans le pilote du système de fichiers FAT. Un attaquant peut inciter une victime à monter un fichier VHD corrompu, compromettant ainsi le système cible.
4. CVE-2025-24991 – Windows NTFS (Divulgation d’information)
Une faille qui permet à un attaquant de lire des fragments de mémoire lorsque la victime monte un fichier VHD malveillant.
5. CVE-2025-24993 – Windows NTFS (Exécution de code à distance)
Une faille liée à un dépassement de mémoire tampon exploitable via un fichier NTFS modifié.
6. CVE-2025-26633 – Microsoft Management Console (Contournement de sécurité)
Cette faille peut être exploitée via des fichiers MSC piégés, permettant de contourner les protections Windows.
7. CVE-2025-26630 – Microsoft Access (Exécution de code à distance – Divulgation publique)
Une vulnérabilité de type use-after-free dans Microsoft Access, qui nécessite qu’un utilisateur ouvre un fichier Access malveillant.
Vulnérabilités critiques nécessitant une attention immédiate
En plus des zero-day, six vulnérabilités critiques sont à signaler :
1. CVE-2025-24064 – Windows DNS (Exécution de code à distance)
Une vulnérabilité permettant à un attaquant d’envoyer une mise à jour DNS dynamique minutieusement synchronisée pour exécuter du code à distance. Cette faille impacte les serveurs Windows DNS, notamment ceux supportant les mises à jour dynamiques.
2. Trois vulnérabilités affectant Windows Remote Desktop Services (RCE)
Elles concernent les passerelles RDP et nécessitent qu’un attaquant remporte une course de processus, ce qui limite toutefois leur fiabilité d’exploitation.
3. CVE-2025-24057 – Microsoft Office (RCE)
Une faille exploitable via un document Office modifié, ouvrant la voie à une prise de contrôle à distance.
4. CVE-2025-24084 – Windows Subsystem for Linux (WSL2) (RCE)
Cette vulnérabilité touche le noyau Linux sous Windows, et pourrait être exploitée pour compromettre les environnements Windows exécutant WSL2.
Priorités pour les équipes de sécurité
Face à ces vulnérabilités, les administrateurs doivent déployer les correctifs sans délai en suivant ces recommandations :
- Prioriser les systèmes exposés à Internet, notamment les serveurs DNS, les passerelles RDP et les environnements virtualisés.
- Mettre à jour Microsoft Office pour réduire le risque d’exploitation via des fichiers piégés.
- Éviter le montage de fichiers VHD non vérifiés, en particulier ceux reçus par des canaux non sécurisés.
- Surveiller les tentatives d’exploitation active des vulnérabilités NTFS et FAT, notamment via les fichiers VHD corrompus.
Sources et documentation
- Analyse détaillée du Patch Tuesday : https://isc.sans.edu/diary/31756
- Liste complète des vulnérabilités corrigées : https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2025-patch-tuesday-fixes-7-zero-days-57-flaws/
- Podcast RadioCSIRT : https://www.radiocsirt.org/podcast/ep-220-special-patch-tuesday-du-mercredi-12-mars-2025/
- Full CVE Microsoft from BleepingComputer : https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/Microsoft-Patch-Tuesday-March-2025.html
Ce Patch Tuesday met en évidence des vecteurs d’attaque critiques, notamment via les fichiers VHD et les mises à jour DNS malveillantes.
La rapidité d’application des mises à jour sera déterminante pour limiter les risques d’exploitation.
On ne réfléchit pas, on patch (c) RadioCSIRT
