Microsoft a publié des correctifs pour plus de 80 vulnérabilités dans Windows et ses logiciels lors du Patch Tuesday du 9 septembre 2025 (81 failles recensées ce jour-là). Aucune vulnérabilité de type zero-day activement exploitée n’a été signalée ce mois-ci, bien que deux failles déjà divulguées publiquement (zero-days) aient été corrigées. La plupart des failles sont classées de gravité Importante, et treize ont reçu le label Critique de Microsoft. Parmi ces vulnérabilités critiques figurent notamment cinq permettant l’exécution de code à distance (RCE), une entraînant une divulgation d’information sensible, et deux aboutissant à une élévation de privilèges. (Microsoft réserve la mention « Critique » aux failles permettant à un attaquant d’obtenir un accès à distance non autorisé avec un minimum d’interaction utilisateur.)
Le tableau ci-dessous résume la répartition par type des 81 vulnérabilités corrigées en septembre 2025 :
- 41 Élévations de privilège (EoP) – failles permettant à un attaquant déjà présent sur un système d’obtenir des droits plus élevés.
- 22 Exécutions de code à distance (RCE) – failles pouvant permettre à un attaquant d’exécuter du code arbitraire sur un système à distance.
- 16 Divulgations d’information – failles exposant potentiellement des informations sensibles.
- 3 Dénis de service (DoS) – failles pouvant interrompre le fonctionnement normal d’un service ou d’un système.
- 2 Contournements de fonctionnalité de sécurité – failles permettant de passer outre des mécanismes de sécurité sans autorisation.
- 1 Vulnérabilité de type usurpation d’identité (Spoofing) – faille pouvant permettre à un attaquant de se faire passer pour une entité de confiance.
Vulnérabilités d’exécution de code à distance (RCE)
Les vulnérabilités RCE, en particulier celles classées critiques, retiennent souvent l’attention car elles permettent à un attaquant d’exécuter du code arbitraire sur les systèmes affectés. Ce mois-ci, cinq failles RCE critiques ont été corrigées, ainsi que de nombreuses RCE de gravité Importante.
- CVE-2025-54916 (Windows NTFS) : Cette vulnérabilité, située dans le système de fichiers NTFS de Windows, peut conduire à l’exécution de code à distance suite à un débordement de mémoire tampon. Bien que son intitulé suggère une exploitation à distance, son exploitation effective n’est pas automatique via le réseau – elle requiert qu’un attaquant ait déjà la capacité d’exécuter du code sur la machine cible ou qu’il parvienne à convaincre un utilisateur d’exécuter un fichier malveillant (par exemple en l’envoyant en pièce jointe ou via un lien). En pratique, CVE-2025-54916 s’apparente donc à une attaque locale déclenchée par ingénierie sociale, mais elle demeure grave car un exploit réussi donnerait un contrôle total sur le système. Microsoft considère d’ailleurs son exploitation « plus probable », d’autant que la précédente faille NTFS corrigée en mars 2025 était déjà exploitée activement dans la nature en tant que zero-day.
- CVE-2025-54910 (Microsoft Office) : Il s’agit d’une vulnérabilité critique dans la suite Microsoft Office (affectant notamment Office 2016, Office 2019, Office LTSC 2021/2024 et les applications Microsoft 365). Elle provient d’un débordement de mémoire de type heap et peut être exploitée en incitant un utilisateur à ouvrir un document Office spécialement conçu. Un fichier malveillant ouvert par la victime pourrait exécuter du code arbitraire sur sa machine avec les privilèges de l’utilisateur courant. Bien que l’attaque nécessite une interaction (ouverture du fichier piégé), elle est initiée à distance par l’envoi du document et peut compromettre le poste de travail de la cible, ce qui justifie son classement critique.
- CVE-2025-55226 et CVE-2025-55236 (DirectX / Noyau graphique) : Deux vulnérabilités critiques affectent le noyau graphique de Windows (composant DirectX). CVE-2025-55226 est causée par un problème de synchronisation lors d’exécutions concurrentes utilisant une ressource partagée, tandis que CVE-2025-55236 est liée à une condition de compétition de type time-of-check to time-of-use (TOCTOU). Dans les deux cas, un attaquant pourrait exécuter du code arbitraire au niveau noyau. L’exploitation de ces failles nécessite toutefois un contexte local : un logiciel malveillant ou un utilisateur authentifié doit les déclencher sur la machine cible. Microsoft note que pour CVE-2025-55226, l’attaquant doit préparer l’environnement cible afin d’améliorer la fiabilité de l’exploitation. Bien qu’exigeant un accès initial, ces failles sont jugées critiques car elles pourraient conférer un contrôle total du système une fois exploitées (compromission du kernel).
- CVE-2025-54101 (Windows SMBv3 Client/Server) : Cette vulnérabilité d’exécution de code à distance affecte le protocole SMB version 3 de Windows (utilisé pour les partages de fichiers en réseau). Classée de gravité Importante, elle résulte d’un bug de type use-after-free conjugué à une condition de course. Son exploitation n’est pas triviale et requiert qu’un attaquant authentifié « remporte » une condition de compétition pour exécuter du code à distance via SMB. En pratique, un acteur malveillant présent sur le réseau local pourrait cibler un serveur ou client SMB vulnérable afin d’exécuter du code sur la machine distante, après authentification. Aucune exploitation active n’a été signalée, mais la complexité de cette faille en fait un scénario d’attaque plus ciblé.
- CVE-2025-55224 (Hyper-V) : Bien qu’aucune information d’exploitation active ne soit connue, il convient de noter la présence d’une vulnérabilité critique dans Hyper-V, le hyperviseur de virtualisation de Windows. CVE-2025-55224 est une faille RCE qui pourrait théoriquement permettre à un attaquant exécutant du code dans une machine virtuelle invitée de l’exploiter pour exécuter du code arbitraire sur l’hôte Hyper-V lui-même. En d’autres termes, cette vulnérabilité pourrait ouvrir la voie à une évasion de sandbox/VM, ce qui justifie pleinement son classement critique. Les correctifs de septembre 2025 adressent ce problème pour empêcher toute escalade depuis les environnements virtualisés.
Vulnérabilités d’élévation de privilège (EoP)
Les failles d’élévation de privilège constituent près de la moitié des correctifs de ce Patch Tuesday (41 sur 81). Ce type de vulnérabilité est exploité par un attaquant après avoir obtenu un accès initial sur une machine (par exemple via un compte utilisateur compromis ou un code malveillant déjà exécuté). L’attaquant cherche alors à obtenir des droits plus élevés – typiquement des privilèges administrateur ou système – en exploitant une faille locale. Bien qu’elles fassent moins les gros titres que les RCE, ces vulnérabilités EoP sont critiques dans un scénario d’attaque en plusieurs étapes. D’ailleurs, pour la troisième fois en 2025, Microsoft a corrigé ce mois-ci davantage d’élévations de privilège que d’exécutions de code à distance, soulignant l’importance de renforcer la sécurité post-compromission.
- CVE-2025-54918 (Windows NTLM) : Cette vulnérabilité d’élévation de privilèges, classée Critique, est l’une des plus préoccupantes du mois. Elle résulte d’une mauvaise gestion de l’authentification dans Windows NTLM (le protocole d’authentification des domaines Windows). CVE-2025-54918 pourrait permettre à un attaquant authentifié sur le réseau d’élever ses privilèges jusqu’au niveau SYSTEM sur la machine cible. Concrètement, si un attaquant parvient à envoyer des paquets NTLM spécialement conçus vers un système vulnérable – possiblement après avoir obtenu un hash NTLM ou des identifiants valides – il pourrait obtenir un accès complet. Microsoft a évalué cette faille comme « Exploitation plus probable », car bien qu’il s’agisse techniquement d’une élévation de privilège, l’attaque peut être effectuée à distance via le réseau (ce qui est inhabituel pour une EoP). Les administrateurs doivent donc considérer cette mise à jour comme prioritaire.
- CVE-2025-55234 (Windows SMB, attaque de relais) : Également digne d’attention, cette vulnérabilité affecte le service SMB de Windows. Classée Importante, elle a la particularité d’avoir été divulguée publiquement avant l’arrivée du correctif (il s’agit donc d’un zero-day connu). CVE-2025-55234 permet ce qu’on appelle une attaque de relais SMB : un attaquant ayant un accès réseau peut intercepter l’authentification SMB d’un utilisateur et la rejouer vers un serveur vulnérable, contournant ainsi l’authentification pour obtenir les privilèges de la victime sur ce serveur. Microsoft indique que Windows offre déjà des mécanismes de protection contre ce genre d’attaque (tels que la signature SMB obligatoire et l’Extended Protection for Authentication (EPA)). Cependant, ces protections ne sont souvent pas activées par défaut car elles peuvent engendrer des incompatibilités avec des anciens équipements ou logiciels. Les correctifs de septembre introduisent la prise en charge d’un mode audit pour évaluer la compatibilité de ces mesures de renforcement sur les serveurs SMB. Il est conseillé aux administrateurs de tester et d’activer ces protections (signature SMB, EPA) dès que possible pour se prémunir contre les attaques de relais, tout en surveillant d’éventuels impacts sur leur environnement.
- Autres failles EoP notables : Une multitude d’autres vulnérabilités d’élévation de privilège sont corrigées ce mois-ci, touchant divers composants sensibles du système. Plusieurs concernent le rôle Hyper-V (CVE-2025-54098, CVE-2025-54092, etc.), ce qui signifie qu’un attaquant présent dans une machine virtuelle pourrait tenter d’élever ses privilèges sur l’hôte ou d’autres VM. De même, une faille dans le pilote TCP/IP de Windows (CVE-2025-54093) a été corrigée ; celle-ci aurait pu permettre à un code malveillant déjà présent d’obtenir des privilèges SYSTEM via le pilote réseau. Le noyau Windows et certains de ses pilotes contenaient également des faiblesses (par ex. CVE-2025-54110) qu’un attaquant local pourrait exploiter pour passer en mode kernel. D’autres vulnérabilités EoP concernent des services tels que BitLocker (chiffrement de disque), LSASS (sécurité des comptes locaux), le service Bluetooth, ou encore le service Connected Devices Platform. Aucune de ces failles n’a été signalée comme exploitée activement dans la nature à ce jour. Néanmoins, Microsoft en évalue plusieurs comme présentant un risque d’exploitation non négligeable à l’avenir. Il est donc crucial pour les équipes de gestion des correctifs d’appliquer ces mises à jour EoP afin de limiter les possibilités d’escalade de privilèges en cas d’intrusion.
Divulgations d’information, dénis de service et autres vulnérabilités
Outre les RCE et EoP, le lot de correctifs de septembre 2025 comprend 16 vulnérabilités de divulgation d’information. Ces failles, moins critiques en apparence, peuvent malgré tout exposer des données sensibles ou faciliter la reconnaissance par un attaquant. Par exemple, CVE-2025-53799 (Windows Imaging Component) est une vulnérabilité critique qui pourrait permettre à un attaquant de lire des informations en mémoire qui devraient rester protégées. De même, CVE-2025-55242 (Xbox) – classée critique également – porte sur un composant de certification lié à Xbox et pourrait révéler du contenu sensible ou interne à l’appareil visé. La plupart des autres failles de divulgation d’information corrigées ce mois-ci sont classées Importantes et se situent dans divers composants de Windows (pilotes du noyau, services réseau, Office, etc.).
Trois vulnérabilités de déni de service (DoS) sont résolues dans ces mises à jour. L’une des plus notables est CVE-2025-53805, une faille dans HTTP.sys – le composant qui gère les requêtes HTTP dans Windows (utilisé par IIS, le serveur web). Un attaquant distant non authentifié pourrait exploiter ce bug pour provoquer un arrêt du service (dénis de service) sur un serveur Windows en envoyant des requêtes spécialement formées. D’autres DoS affectent par exemple le processus LSASS (Local Security Authority Subsystem); une attaque pourrait alors faire crasher ce service critique, entraînant potentiellement un redémarrage du système ou une indisponibilité temporaire de l’authentification.
En complément, 2 vulnérabilités de contournement de fonction de sécurité ont été corrigées. Ces failles de type Security Feature Bypass permettent à un attaquant d’outrepasser certaines protections sans forcément compromettre la machine directement. Par exemple, deux CVE (CVE-2025-54917 et CVE-2025-54107) concernent la fonction MapUrlToZone, utilisée pour déterminer la zone de sécurité d’une URL – leur exploitation pourrait tromper le système sur l’origine d’un contenu. Enfin, 1 vulnérabilité de spoofing (usurpation d’identité) a été patchée dans Microsoft Office (CVE-2025-55243, affectant OfficePlus). Bien que d’impact plus limité, ce type de faille peut être utilisé dans des scénarios d’hameçonnage pour faire passer un contenu malveillant pour légitime.
Vulnérabilités zero-day corrigées
Deux failles précédemment dévoilées au public (zero-day) sans correctif disponible ont été adressées dans le cadre de ce Patch Tuesday :
- CVE-2025-55234 (Windows SMB) : Décrite plus haut dans la section EoP, cette vulnérabilité d’élévation de privilèges par relais SMB était connue publiquement avant sa correction. Bien qu’aucune exploitation active n’ait été confirmée par Microsoft, le simple fait qu’elle soit documentée augmente le risque que des attaquants l’aient étudiée ou utilisée de manière ciblée. Son correctif était donc attendu et doit être déployé en priorité sur les serveurs SMB.
- CVE-2024-21907 (Newtonsoft.Json / SQL Server) : Cette vulnérabilité concerne la bibliothèque de parsing JSON Newtonsoft.Json intégrée à Microsoft SQL Server. Elle avait été divulguée en 2024 et affecte les versions de Newtonsoft.Json antérieures à 13.0.1. Le problème provient d’une mauvaise gestion d’une condition exceptionnelle lors de la désérialisation JSON : des données spécialement conçues passées à la fonction
JsonConvert.DeserializeObjectpeuvent provoquer une exception de type StackOverflow, entraînant un crash du processus (attaque de déni de service). Un attaquant distant non authentifié pourrait donc, dans certaines configurations de base de données exposées, causer l’arrêt du service SQL via cette faille. Microsoft a intégré une version mise à jour de la bibliothèque JSON dans les mises à jour SQL Server de septembre 2025 pour corriger ce problème. Il s’agit d’une correction importante pour les serveurs SQL, même si l’impact se limite à un DoS et non à une exécution de code.
Autres mises à jour de sécurité en septembre 2025
En dehors de l’écosystème Microsoft, plusieurs éditeurs et projets ont également publié des correctifs de sécurité notables durant le mois de septembre 2025 :
- Apple – Le constructeur a diffusé des mises à jour d’urgence pour iOS (version 18.6.2), iPadOS (18.6.2 et 17.7.10) ainsi que macOS (versions 15.6.1 « Sequoia », 14.7.8 « Sonoma » et 13.7.8 « Ventura »). Ces correctifs comblent entre autres CVE-2025-43300, la septième vulnérabilité zero-day d’Apple cette année, qui était exploitée dans la nature. Cette faille faisait partie d’une chaîne d’exploitation comprenant également une vulnérabilité dans WhatsApp (CVE-2025-55177) et a servi à déployer un espionnage ciblé via spyware selon Amnesty International. Les utilisateurs d’appareils Apple sont donc encouragés à appliquer ces mises à jour pour se protéger de cette campagne avancée.
- Google (Android) – Le bulletin de sécurité Android de septembre 2025 corrige 84 failles au total. Parmi elles, deux vulnérabilités zero-day activement exploitées ont été fixées début septembre (CVE-2025-38352 dans le kernel Android, et CVE-2025-48543 dans l’environnement d’exécution Android Runtime). Ces deux failles sont des élévations de privilège qui étaient utilisées par des attaquants avant leur correctif. Il est recommandé aux utilisateurs d’appareils Android de niveau patch 2025-09-05 d’installer ces mises à jour sans tarder.
- Adobe – L’éditeur a publié des patches pour corriger une faille critique surnommée SessionReaper, qui affectait la plateforme e-commerce Magento. Cette vulnérabilité pourrait permettre à un attaquant de compromettre des boutiques en ligne non mises à jour.
- Cisco – Le fournisseur d’équipements réseau a déployé en septembre des mises à jour de sécurité pour plusieurs de ses produits, dont Cisco WebEx (visioconférence) et Cisco ASA (firewall/VPN), afin de corriger des failles susceptibles d’être exploitées à distance. Les administrateurs de ces solutions sont invités à consulter les avis de sécurité Cisco pour appliquer les correctifs appropriés.
- SAP – L’éditeur d’applications d’entreprise a publié ses mises à jour mensuelles incluant un correctif pour une vulnérabilité critique dans SAP NetWeaver (permettant une exécution de commande à distance avec le plus haut niveau de gravité). D’autres failles affectant diverses applications SAP ont également été corrigées.
- Argo CD – Le projet open source Argo CD (outil de déploiement continu sur Kubernetes) a reçu un correctif traitant une vulnérabilité qui permettait à des jetons API peu privilégiés d’accéder à des points de terminaison et de récupérer l’ensemble des identifiants de dépôts du projet. Cette faille pouvait exposer des secrets sensibles et compromettre la chaîne de déploiement.
- Sitecore – L’éditeur de la plateforme de gestion de contenu Sitecore a résolu une vulnérabilité zero-day (CVE-2025-53690) qui était exploitée activement dans des attaques ciblées. Les clients de Sitecore doivent s’assurer d’installer cette mise à jour de sécurité afin de bloquer cette exploitation.
- TP-Link – Le fabricant d’équipements réseau a confirmé l’existence d’une nouvelle faille zero-day affectant certains de ses routeurs. Bien que les détails soient limités au moment de la publication, TP-Link enquête sur le potentiel d’exploitation de cette vulnérabilité et prépare des correctifs, en commençant par les modèles destinés au marché américain. Les utilisateurs de routeurs TP-Link devraient surveiller l’annonce de mises à jour firmware et appliquer les patchs dès leur disponibilité.
Enfin, du côté de Microsoft, il convient de rappeler qu’il ne reste plus que deux mois avant la fin du support gratuit de Windows 10 (prévue en octobre 2025). Les correctifs de sécurité de ce Patch Tuesday de septembre font partie des dernières mises à jour gratuites pour Windows 10. Les entreprises et organisations doivent donc anticiper cette échéance : soit en planifiant la migration des postes Windows 10 vers des systèmes d’exploitation plus récents encore supportés, soit en souscrivant au programme de mises à jour étendues (si disponible), ou en mettant en place des mesures de mitigation pour les machines qui ne pourront pas être immédiatement mises à jour. Pour l’heure, il est vivement conseillé d’appliquer l’ensemble des correctifs de sécurité de septembre 2025 afin de protéger les systèmes contre l’ensemble des vulnérabilités évoquées ci-dessus, et de continuer à le faire régulièrement pour maintenir un bon niveau de sécurité.
Les sources utilisées:
