Patch Tuesday d’août 2025 : 107 failles corrigées, dont une zero-day Kerberos

Aujourd’hui, je publie un article de référence sur les mises à jour de sécurité Microsoft d’août 2025. Microsoft annonce 107 vulnérabilités corrigées, dont treize classées « Critique ». La répartition est la suivante : 44 élévations de privilèges, 35 exécutions de code à distance, 18 divulgations d’informations, 4 dénis de service et 9 usurpations (spoofing). Ces chiffres portent uniquement sur les correctifs publiés ce Patch Tuesday, à l’exclusion des correctifs Mariner, Azure et Edge diffusés plus tôt dans le mois.

Zero-day corrigée : CVE-2025-53779 (Windows Kerberos)

Je détaille la vulnérabilité CVE-2025-53779, une élévation de privilèges dans Windows Kerberos rendue publique avant correctif. Microsoft explique qu’un mécanisme de « relative path traversal » permet à un attaquant authentifié d’élever ses privilèges jusqu’à administrateur de domaine. L’exploitation exige des accès élevés à des attributs liés aux comptes de service gérés (dMSA), notamment msds-groupMSAMembership et msds-ManagedAccountPrecededByLink. La découverte est attribuée à Yuval Gordon (Akamai), auteur d’un rapport technique publié en mai.

Vulnérabilités « Critique » : points saillants

• Azure
  Azure Virtual Machines : CVE-2025-49707 (spoofing – Critique), CVE-2025-53781 (divulgation d’informations – Critique)
  Azure Stack Hub : CVE-2025-53793 (divulgation d’informations – Critique)
• Chaîne graphique Windows
  DirectX Graphics Kernel : CVE-2025-50176 (exécution de code à distance – Critique)
  Windows Graphics Component : CVE-2025-50165 (exécution de code à distance – Critique)
  GDI+ : CVE-2025-53766 (exécution de code à distance – Critique)
• Suite Microsoft Office
  Word : CVE-2025-53784, CVE-2025-53733 (exécution de code à distance – Critique)
  Office (générique) : CVE-2025-53740, CVE-2025-53731 (exécution de code à distance – Critique)
• Messagerie en files d’attente (MSMQ)
  CVE-2025-50177 (exécution de code à distance – Critique)
• Virtualisation
  Hyper-V : CVE-2025-48807 (exécution de code à distance – Critique)
• Authentification
  NTLM : CVE-2025-53778 (élévation de privilèges – Critique)

Couverture détaillée par produit et composant

Azure et services associés

• Azure File Sync : CVE-2025-53729 (élévation de privilèges) – Important
• Azure Stack Hub : CVE-2025-53793 (divulgation d’informations) – Critique ; CVE-2025-53765 (divulgation d’informations) – Important
• Azure Virtual Machines : CVE-2025-49707 (spoofing) – Critique ; CVE-2025-53781 (divulgation d’informations) – Critique

Windows – sous-systèmes, pilotes et services

• Desktop Windows Manager : CVE-2025-53152 (exécution de code à distance) – Important ; CVE-2025-50153 (élévation de privilèges) – Important
• DirectX Graphics Kernel : CVE-2025-50176 (RCE) – Critique ; CVE-2025-53135 (élévation de privilèges) – Important ; CVE-2025-50172 (déni de service) – Important
• Windows Graphics Component : CVE-2025-49743 (élévation de privilèges) – Important ; CVE-2025-50165 (RCE) – Critique
• GDI+ : CVE-2025-53766 (RCE) – Critique
• Kernel / NT OS : CVE-2025-49761, CVE-2025-53151 (élévation de privilèges) – Important ; CVE-2025-53136 (divulgation d’informations) – Important
• Kernel Transaction Manager : CVE-2025-53140 (élévation de privilèges) – Important
• Kernel Streaming WOW Thunk Service Driver : CVE-2025-53149 (élévation de privilèges) – Important
• Storage Port Driver : CVE-2025-53156 (divulgation d’informations) – Important
• Windows Installer : CVE-2025-50173 (élévation de privilèges) – Important
• LSASS : CVE-2025-53716 (déni de service) – Important
• Ancillary Function Driver for WinSock (AFD) : CVE-2025-53718, 53134, 49762, 53147, 53154, 53137, 53141 (élévation de privilèges) – Important
• Windows Cloud Files Mini Filter : CVE-2025-50170 (élévation de privilèges) – Important
• Connected Devices Platform Service : CVE-2025-53721 (élévation de privilèges) – Important
• Windows Media : CVE-2025-53131 (exécution de code à distance) – Important
• Windows NTFS : CVE-2025-50158 (divulgation d’informations) – Important
• Win32k : CVE-2025-50161, 53132, 50168 (élévation de privilèges) – Important
• Windows Security App : CVE-2025-53769 (spoofing) – Important
• Windows SMB : CVE-2025-50169 (exécution de code à distance) – Important
• Windows StateRepository API : CVE-2025-53789 (élévation de privilèges) – Important
• Windows Remote Desktop Services : CVE-2025-53722 (déni de service) – Important

Rôle Hyper-V

• Hyper-V : CVE-2025-48807 (exécution de code à distance) – Critique
• Hyper-V : CVE-2025-50167, CVE-2025-53155, CVE-2025-53723 (élévation de privilèges) – Important
• Hyper-V : CVE-2025-49751 (déni de service) – Important

Réseau et accès distant

• RRAS (Routing and Remote Access Service)
  RCE – CVE-2025-50163, 50162, 50164, 49757, 53720, 50160 – Important
  Divulgation d’informations – CVE-2025-50157, 53153, 53148, 53138, 53719, 50156 – Important
• Remote Desktop Server : CVE-2025-50171 (spoofing) – Important
• PPP EAP-TLS : CVE-2025-50159 (élévation de privilèges) – Important
• MSMQ : CVE-2025-50177 (RCE) – Critique ; CVE-2025-53145, 53143, 53144 (RCE) – Important

Authentification et identité

• Kerberos : CVE-2025-53779 (élévation de privilèges) – vulnérabilité publiquement divulguée
• NTLM : CVE-2025-53778 (élévation de privilèges) – Critique

Applications et services Microsoft

• Microsoft Office (générique) : CVE-2025-53740, 53731 (exécution de code à distance) – Critique ; CVE-2025-53732 (exécution de code à distance) – Important
• Word : CVE-2025-53784, 53733 (RCE) – Critique ; CVE-2025-53738 (RCE) – Important ; CVE-2025-53736 (divulgation d’informations) – Important
• Excel : CVE-2025-53759, 53737, 53739, 53735, 53741 (RCE) – Important
• PowerPoint : CVE-2025-53761 (RCE) – Important
• Visio : CVE-2025-53730, 53734 (RCE) – Important
• SharePoint : CVE-2025-53760 (élévation de privilèges) – Important ; CVE-2025-49712 (RCE) – Important
• Teams : CVE-2025-53783 (RCE) – Important
• Exchange Server : CVE-2025-25005 (altération) – Important ; CVE-2025-25006, 25007 (spoofing) – Important ; CVE-2025-53786 (déploiement hybride, élévation de privilèges) – Important ; CVE-2025-33051 (divulgation d’informations) – Important
• Web Deploy : CVE-2025-53772 (exécution de code à distance) – Important
• GitHub Copilot & Visual Studio : CVE-2025-53773 (exécution de code à distance) – Important
• Dynamics 365 (on-premises) : CVE-2025-49745 (XSS) – Important ; CVE-2025-53728 (divulgation d’informations) – Important

Navigateurs et clients

• Microsoft Edge (Android) : CVE-2025-49755 (spoofing) – Faible ; CVE-2025-49736 (spoofing) – Modérée

Publications connexes mentionnées dans la source

Je relève également des publications et correctifs diffusés en juillet 2025 par d’autres éditeurs : 7-Zip (path traversal conduisant potentiellement à RCE), Adobe (AEM Forms, correctifs d’urgence après publication de PoC), Cisco (WebEx, Identity Services Engine), Fortinet (FortiOS, FortiManager, FortiSandbox, FortiProxy), Google/Android (deux vulnérabilités Qualcomm activement exploitées), Microsoft (mise en garde sur CVE-2025-53786 pour Exchange), Proton (correctif pour l’app Authenticator iOS qui journalisait des secrets TOTP en clair), SAP (bulletin de juillet avec plusieurs vulnérabilités notées 9,9), Trend Micro (outil de correction pour une RCE Apex One activement exploitée, correctifs complets à venir), WinRAR (mise à jour de fin juillet corrigeant une vulnérabilité de type path traversal activement exploitée).

Sources

• BleepingComputer — « Microsoft August 2025 Patch Tuesday fixes one zero-day, 107 flaws »
  https://www.bleepingcomputer.com/news/microsoft/microsoft-august-2025-patch-tuesday-fixes-one-zero-day-107-flaws/
• Microsoft Security Update Guide — CVE-2025-53779 (Windows Kerberos Elevation of Privilege)
  https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53779
• Akamai (Yuval Gordon) — « BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory »
  https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory