Compléments et Analyses des Mises à Jour de Sécurité de Microsoft
J’ai choisi de rédiger un second article sur le Patch Tuesday de Microsoft, estimant que mon premier essai d’hier ne répondait pas pleinement aux exigences de qualité et de profondeur attendues.
Suivant les sources Microsoft a publié le Patch Tuesday de mai 2025 avec des correctifs pour 70, 71 ou 72 vulnérabilités au total suivant les sources , dont cinq failles zero-day déjà exploitées activement dans des attaques.
Deux autres failles, bien que non exploitées, disposaient déjà de codes d’exploitation publics (proof-of-concept) connus des chercheurs. Ce lot mensuel de correctifs comprend par ailleurs 5 vulnérabilités critiques et le reste classées Importantes, couvrant divers produits Windows et services associés.
Ce que je vous propose dans cet article, c’est d’examiner en détail les vulnérabilités les plus notables, notamment les cinq zero-day exploitées, et proposons une analyse de leur impact et des mesures à prendre.
Vulnérabilités Zero-Day activement exploitées
Microsoft a confirmé cinq failles zero-day exploitées in the wild dans ses produits Windows ce mois-ci. Il s’agit principalement de vulnérabilités d’élévation de privilèges locales dans des composants du système, à l’exception d’une faille permettant l’exécution de code à distance via le navigateur.
Chacune de ces faiblesses représente un risque sérieux pour les systèmes non corrigés. Nous détaillons ci-dessous chacune de ces vulnérabilités critiques.
Vulnérabilités CLFS (CVE-2025-32701 & CVE-2025-32706)
Deux des failles zero-day concernent le pilote Windows Common Log File System (CLFS), un composant central de Windows utilisé pour la journalisation par de nombreux services système et applications. Les failles CVE-2025-32701 et CVE-2025-32706 permettent à un attaquant ayant un accès initial à la machine d’élever ses privilèges jusqu’au niveau SYSTEM. Concrètement, un malware ou un intrus qui aurait déjà compromis un compte standard via du phishing ou des identifiants volés pourrait exploiter ces bugs CLFS pour obtenir un contrôle total de l’hôte Windows. Comme le souligne Kev Breen (Immersive Labs), ces élévations de privilège donnent à l’attaquant le contrôle du compte système Windows, ce qui lui permet de désactiver les outils de sécurité présents sur la machine voire de dérober des informations d’identification pour compromettre le domaine entier.
Ces failles CLFS sont d’autant plus préoccupantes qu’elles touchent toutes les versions supportées de Windows 10, Windows 11 et les éditions Windows Server correspondantes. De plus, le pilote CLFS s’est révélé être une cible fréquente des attaquants : rien qu’en 2024, Microsoft a dû corriger huit vulnérabilités dans CLFS (dont une exploitée activement en décembre 2024), et plusieurs failles similaires ont déjà été patchées en 2025 (par exemple en avril). Les groupes de ransomware en particulier ont fait usage de vulnérabilités CLFS par le passé, soulignant le potentiel destructeur de ces failles. Il est donc impératif pour les organisations de corriger immédiatement ces deux vulnérabilités. En l’absence de correctif, leur exploitation permettrait à des acteurs malveillants d’installer des malwares, de modifier des données ou de neutraliser les protections sur les machines visées, avec un risque de propagation à l’ensemble du domaine.
Vulnérabilité dans AFD.sys (CVE-2025-32709)
Une autre faille zero-day activement exploitée est CVE-2025-32709, qui réside dans le pilote AFD.sys (Ancillary Function Driver), un composant noyau gérant les connexions réseau (sockets) de Windows. Là encore, il s’agit d’une vulnérabilité d’élévation de privilèges locale. Microsoft indique que l’attaque exploite une condition use-after-free dans ce pilote réseau, permettant à un attaquant authentifié d’injecter des données arbitraires en mémoire et de prendre le contrôle de l’exécution du pilote. En exploitant ce bogue, un utilisateur malintentionné peut ainsi passer d’un accès limité à des privilèges administrateur système, compromettant potentiellement l’intégrité du système hôte et facilitant la mouvance latérale vers d’autres ressources du réseau.
Il est à noter que cette faille AFD n’est pas une première : c’est la deuxième vulnérabilité zero-day affectant AFD.sys à être exploitée en 2025 – une précédente faille (CVE-2025-21418) ayant déjà été corrigée lors du Patch Tuesday de février 2025. Cela souligne la nécessité pour Microsoft de renforcer la sécurité de ce composant critique, et pour les équipes de sécurité de rester vigilantes face à la réapparition de vulnérabilités similaires.
Vulnérabilité dans Desktop Window Manager (CVE-2025-30400)
La quatrième faille zero-day, identifiée par CVE-2025-30400, est une vulnérabilité d’élévation de privilège dans le composant Desktop Window Manager (DWM) de Windows. DWM est le service du gestionnaire de fenêtres de Windows (générant l’affichage des fenêtres, effets visuels, etc.), tournant avec des privilèges élevés. L’exploitation de cette faille permettrait à un attaquant local d’obtenir les droits SYSTEM sur la machine, avec un impact équivalent à celui des failles précédentes en termes de prise de contrôle et de désactivation des protections. En effet, un code malveillant exploitant CVE-2025-30400 pourrait prendre le contrôle total de l’hôte et potentiellement désactiver les outils de sécurité ou compromettre des comptes sensibles (jusqu’à l’accès au domaine).
Microsoft a confirmé que cette vulnérabilité DWM était activement exploitée avant la publication du correctif. Fait notable, elle survient presque exactement un an après une autre faille zero-day similaire dans DWM (référence CVE-2024-30051) qui avait été corrigée en mai 2024. DWM s’avère donc une composante régulièrement affectée par des vulnérabilités (huit failles DWM corrigées en 2024, dont une activement exploitée). Là aussi, la réactivité est de mise : les correctifs doivent être appliqués en priorité pour empêcher d’éventuelles campagnes d’attaque tirant parti de cette nouvelle faille.
Vulnérabilité du moteur de script (CVE-2025-30397)
Enfin, la cinquième vulnérabilité zero-day est CVE-2025-30397, une faille d’exécution de code arbitraire (RCE) dans le Microsoft Scripting Engine. Ce moteur de script est utilisé par Internet Explorer et le mode IE d’Edge, ce qui signifie qu’un attaquant peut exploiter la faille en piégeant la cible via du contenu web malveillant. Microsoft précise que pour être exploité, la victime doit utiliser Edge en mode Internet Explorer et cliquer sur une URL spécialement conçue. La complexité de l’attaque est jugée relativement haute (configuration spécifique requise), mais cela n’a pas empêché cette vulnérabilité d’être observée en exploitation active dans la nature. Un attaquant parviendrait, grâce à un simple site web ou email piégé, à exécuter du code arbitraire sur le système de la victime avec les privilèges de l’utilisateur courant. Bien que classée en sévérité Importante (CVSS autour de 7.5), cette faille représente un vecteur d’intrusion potentielle depuis Internet qu’il convient de corriger sans délai.
Absence d’IoC, mitigation et rapidité d’exploitation
Un point préoccupant commun à ces différentes failles est que Microsoft n’a fourni aucun indicateur de compromission (IoC) public permettant aux défenseurs d’identifier une attaque en cours ou passée liée à ces vulnérabilités.
Les bulletins de sécurité restent assez avares en détails techniques sur les modes d’exploitation utilisés. En conséquence, la seule mesure de mitigation efficace immédiate est d’appliquer les correctifs dès que possible sur l’ensemble des systèmes vulnérables.
Les équipes de sécurité (CERT, CSIRT, SOC) sont encouragées à prioriser le déploiement de ces patches, en commençant par les machines les plus critiques ou exposées.
Il est important de souligner que les acteurs malveillants font souvent preuve d’une grande réactivité une fois les failles divulguées publiquement.
D’après les experts, le délai moyen entre la divulgation d’une vulnérabilité et son exploitation à grande échelle est inférieur à cinq jours.
Mon expérience montre que certaines sont exploitées en moins de 15 minutes !
Autrement dit, les groupes de ransomware et autres attaquants s’empressent d’intégrer ces exploits dans leurs arsenaux en quelques jours seulement. Compte tenu de cette rapidité, appliquer les correctifs de mai 2025 sans attendre est crucial pour réduire la fenêtre d’exposition.
Une fois les patches appliqués, il est également recommandé de surveiller étroitement les systèmes pour détecter toute activité suspecte postérieure à la divulgation, et d’investiguer si des signes d’intrusion apparaissent dès que plus d’informations techniques ou IoC seront éventuellement disponibles.
Nouveautés Windows 11/Server 2025 : la fonction controversée Recall
Outre les correctifs de sécurité, les mises à jour de mai 2025 pour Windows 11 et Windows Server 2025 embarquent de nouvelles fonctionnalités liées à l’intelligence artificielle.
Ces mises à jour sont conséquentes (plus de 4 Go) car elles intègrent notamment Windows Copilot et d’autres capacités AI destinées à améliorer l’expérience utilisateur. Parmi ces nouveautés figure une fonctionnalité appelée Recall, qui a suscité des préoccupations chez de nombreux experts en cybersécurité.
Recall est un outil qui prend en continu des captures d’écran de l’activité de l’utilisateur sur les postes Windows dotés de Copilot. L’objectif affiché est d’utiliser ces instantanés pour permettre à l’assistant intelligent de “se souvenir” du contexte et d’aider l’utilisateur.
Cependant, dès son annonce, cette fonctionnalité a été jugée intrusive et potentiellement risquée en matière de vie privée et de sécurité. Des spécialistes ont averti que ce mécanisme pourrait constituer une cible de choix pour des attaquants : un service qui collecte et stocke en permanence tout ce que fait un utilisateur pourrait devenir une mine d’or pour des acteurs malveillants s’ils parvenaient à y accéder.
Face à une vague de retours négatifs, Microsoft a indiqué avoir retravaillé Recall afin d’atténuer les risques. Par exemple, des filtres seraient implémentés pour éviter la collecte d’informations sensibles (comme des données financières affichées à l’écran). Malgré ces ajustements, les inquiétudes persistent dans la communauté sécurité. Le fait même qu’un tel flux de données hautement sensibles (captures d’écran successives) existe soulève des questions : comment ces données sont-elles stockées, chiffrées, transmises ?
Qui pourrait potentiellement y avoir accès en cas de compromission du système ou d’abus interne ?
Il est recommandé aux responsables sécurité (CISO, RSSI, RSI, DSI) de se pencher sur les paramètres de cette fonctionnalité – notamment dans les environnements d’entreprise – et de vérifier si elle peut être limitée ou désactivée en attendant d’en savoir plus. Cette controverse souligne l’éternel équilibre à trouver entre innovations fonctionnalités et impératifs de sécurité : toute nouveauté introduite, surtout impliquant de la télémétrie ou de la collecte de données utilisateur, doit être évaluée soigneusement pour éviter d’ouvrir une nouvelle surface d’attaque.
Le mot de la fin
En mai 2025, Microsoft livre un Patch Tuesday d’une envergure modérée (70 failles corrigées ou 72 failles corrigées ?) mais dont la criticité ne fait aucun doute au vu des multiples exploits déjà observés.
Les cinq vulnérabilités zero-day activement exploitées – en particulier celles touchant des composants noyau comme CLFS, AFD.sys et DWM – constituent des portes d’entrée de choix pour des attaquants cherchant à escalader leurs privilèges et à prendre le contrôle des systèmes Windows. L’absence d’IoC publics et la rapidité d’exploitation après divulgation renforcent l’urgence d’appliquer ces correctifs sans tarder. Par ailleurs, les nouvelles fonctionnalités intégrées dans Windows 11/Server 2025, telles que Recall, rappellent l’importance d’évaluer l’impact sécurité de tout ajout au système.
Les équipes de sécurité (CERT, CSIRT, SOC) sont invitées à rester en alerte, à déployer les patches promptement, et à communiquer au sein de leurs organisations sur les enjeux de ces mises à jour.
En somme, la vigilance et la proactivité restent de mise face à ces menaces émergentes, afin de protéger les infrastructures Windows contre les exploits en circulation.
Bref, une fois de plus, on ne refléchit pas, on patch !
Enjoy !
Sources
- https://www.linkedin.com/pulse/patch-tuesday-microsoft-mai-2025-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-aox3e/?trackingId=Ii0NawQJSfSAT%2F1ln5tIXQ%3D%3D
- https://krebsonsecurity.com/2025/05/patch-tuesday-may-2025-edition/
- https://www.tenable.com/blog/microsofts-may-2025-patch-tuesday-addresses-71-cves-cve-2025-32701-cve-2025-32706
- https://www.computerweekly.com/news/366623992/May-Patch-Tuesday-brings-five-exploited-zero-days-to-fix
