Vulnérabilités et Alertes

Patch Tuesday d’avril 2025

by  • 

125 failles corrigées dont 11 critiques et un zero-day exploité

Microsoft a publié le Patch Tuesday du 8 avril 2025 avec des correctifs pour pas moins de 125 vulnérabilités touchant l’écosystème Windows.

Parmi celles-ci figurent 11 failles critiques (toutes des vulnérabilités d’exécution de code à distance) et une vulnérabilité de type zero-day déjà exploitée activement.

Ces failles couvrent un large éventail d’impacts, notamment des élévations de privilèges (49 au total), des contournements de fonctionnalités de sécurité (9), des exécutions de code arbitraire à distance (31), des divulgations d’information (17), des dénis de service (14) ainsi que des usurpations d’identité (3).

Microsoft indique que les correctifs pour certaines éditions de Windows 10 ne sont pas encore disponibles et seront diffusés ultérieurement, ce qui concerne notamment la faille zero-day annoncée.

Onze vulnérabilités critiques d’exécution de code à distance (RCE)

Sur les 125 failles, onze sont classées critiques car elles permettent l’exécution de code à distance (RCE) sans intervention de l’utilisateur. Plusieurs d’entre elles affectent des services réseau essentiels :

  • LDAP (Lightweight Directory Access Protocol) : Deux vulnérabilités critiques (CVE-2025-26663 et CVE-2025-26670) dans l’implémentation LDAP de Windows. Leur exploitation réussie requiert de remporter une condition de course à l’aide d’une requête LDAP spécialement conçue, entraînant un use-after-free et in fine l’exécution de code arbitraire sur le serveur concerné.
  • Services Bureau à distance (RDP) : Des failles dans Remote Desktop Services exposent les serveurs RDP à des RCE. En particulier, les vulnérabilités CVE-2025-27480 et CVE-2025-27482 permettent à un attaquant non authentifié d’exécuter du code à distance via une connexion RDP malveillante. Toutes deux sont classées critiques et Microsoft évalue également le risque d’exploitation comme « plus probable » dans le contexte réel.
  • Hyperviseur Windows Hyper-V : Une vulnérabilité critique (CVE-2025-27491) affecte Windows Hyper-V. Il s’agit d’une faille de corruption mémoire de type use-after-free qui pourrait permettre à un attaquant disposant d’un accès autorisé à une machine virtuelle d’exécuter du code sur l’hôte Hyper-V via le réseau.

D’autres vulnérabilités RCE concernent Microsoft Office et Excel (par exemple CVE-2025-27752), nécessitant généralement une interaction de l’utilisateur (comme l’ouverture d’un fichier piégé).

Faille zero-day dans le pilote Windows CLFS activement exploitée

Le Patch Tuesday corrige une vulnérabilité zero-day désignée CVE-2025-29824, déjà exploitée dans des attaques ciblées. Cette faille réside dans le pilote Windows Common Log File System (CLFS), utilisé pour la journalisation des événements système.

Elle permet à un attaquant local d’élever ses privilèges au niveau SYSTEM. L’exploitation repose sur un bug de type use-after-free déclenché par un utilisateur disposant de faibles privilèges.

Microsoft a reconnu que cette faille est activement exploitée dans des attaques réelles. Le correctif est disponible pour Windows Server et Windows 11, mais les mises à jour pour Windows 10 restent en attente au moment de la publication.

Élévations de privilège et autres vulnérabilités marquantes

Outre les failles critiques d’exécution de code, une large portion des correctifs d’avril 2025 concerne des vulnérabilités permettant une élévation de privilèges.

Une vulnérabilité dans Active Directory Certificate Services (CVE-2025-27740) pourrait permettre à un acteur malveillant de devenir administrateur du domaine Active Directory. Attribuée un score CVSS de 8.8, cette vulnérabilité illustre le potentiel de dommages élevé des failles de ce type.

Des vulnérabilités dans Microsoft SharePoint Server (CVE-2025-29793 et CVE-2025-29794) permettent également l’exécution de code à distance, mais nécessitent une authentification préalable. D’autres vulnérabilités importantes concernent BitLocker, Bluetooth, RPC, Windows Installer, NTFS, Win32k, DWM, et d’autres composants système.

Correctifs de sécurité chez Adobe, Apple, Google et Mozilla

  • Adobe a publié 12 bulletins de sécurité, corrigeant 54 failles dans ColdFusion, Adobe Commerce, Photoshop, Premiere Pro, Animate, FrameMaker, Media Encoder, et d’autres. Plusieurs de ces vulnérabilités sont critiques.
  • Apple a diffusé le 31 mars une mise à jour de plus de 3 Go corrigeant de nombreuses vulnérabilités sur iOS, iPadOS, macOS, tvOS, watchOS et Safari, dont au moins une faille zero-day.
  • Google a corrigé 13 failles dans Chrome début avril. Une des vulnérabilités corrigées, CVE-2025-2783, était activement exploitée. Microsoft Edge devrait bénéficier de mises à jour similaires.
  • Mozilla a mis à jour Firefox pour corriger 8 failles, dont certaines critiques. Ces mises à jour concernent aussi Thunderbird et Firefox ESR.

En conclusion

Le Patch Tuesday d’avril 2025 traite un volume important de vulnérabilités, avec une attention particulière aux failles critiques d’exécution de code à distance et à la vulnérabilité zero-day CVE-2025-29824.

Les correctifs couvrent des composants réseau, systèmes et applicatifs, affectant potentiellement toutes les strates d’un système d’information. Il est recommandé d’appliquer ces mises à jour sans délai, y compris celles émises par d’autres éditeurs.

Comme dirait un certain podcast « On ne réfléchit pas, On Patch ! »

Sources