Mise à jour de Microsoft : 125 correctifs de sécurité, dont une vulnérabilité Zero-Day toujours exploitée
Microsoft a déployé, ce mardi, une mise à jour comprenant 125 correctifs de sécurité lors de son Patch Tuesday d’avril 2025. Cette mise à jour vise à corriger des failles dans plusieurs produits, y compris une vulnérabilité Zero-Day exploitée activement touchant des millions de dispositifs sous Windows 10, pour laquelle il n’existe pas encore de solution définitive.
Parmi les vulnérabilités détectées, 11 ont été classées comme critiques, toutes liées à des exécutions distantes de code (RCE). Les mises à jour concernent des composants essentiels du système, tels que Kerberos, le Bureau à distance, Microsoft Office et TCP/IP.
Une vulnérabilité Zero-Day toujours non corrigée
La vulnérabilité la plus préoccupante se nomme CVE-2025-29824. Il s’agit d’une faille d’élévation de privilèges dans le Windows Common Log File System (CLFS), exploitée dans des attaques réelles par des groupes tels que RansomEXX. Cette faille permet à des attaquants locaux disposant d’un accès limité de faire évoluer leurs privilèges au niveau SYSTEM, offrant ainsi un contrôle total sur le système.
Microsoft a confirmé cette exploitation active et a averti qu’aucun correctif n’est actuellement disponible pour Windows 10 (ni pour les versions 32 ni 64 bits). Des mises à jour devraient être lancées “bientôt”, mais le risque demeure, surtout dans les environnements professionnels utilisant encore des versions antérieures.
État des lieux des correctifs d’avril
Voici un aperçu des types de vulnérabilités couvertes dans cette mise à jour massive :
| Type de vulnérabilité | Quantité |
|---|---|
| Élévation de privilèges (EoP) | 49 |
| Omissions de fonctionnalités de sécurité | 9 |
| Exécution distante de code (RCE) | 34 |
| Divulgation d’informations | 17 |
| Déni de service (DoS) | 14 |
| Usurpation d’identité | 3 |
En outre, 22 failles de Microsoft Edge basé sur Chromium ont également été corrigées.
Failles critiques dans Office, Hyper-V, LDAP et TCP/IP
Les correctifs les plus préoccupants touchent plusieurs vulnérabilités critiques dans la suite Microsoft Office, notamment dans Excel et Word, susceptibles de permettre l’exécution de code simplement en ouvrant un fichier malveillant. Parmi les plus notables :
- CVE-2025-29791, CVE-2025-27749, CVE-2025-27752 (Office/Excel) : exécution de code à distance via des fichiers spécialement conçus.
- CVE-2025-27480 et CVE-2025-27482 : failles critiques dans Remote Desktop Gateway.
- CVE-2025-26663 et CVE-2025-26670 : vulnérabilités dans les serveurs et clients LDAP.
- CVE-2025-26686 : exécution distante de code dans le composant TCP/IP.
- CVE-2025-27491 : impact critique sur Hyper-V, le système de virtualisation de Windows.
Menace sur Kerberos
Une des vulnérabilités les plus sensibles est CVE-2025-29809, touchant le système d’authentification Kerberos, permettant de contourner des fonctions de sécurité. Bien que classée comme importante, son impact potentiel dans les environnements d’entreprise est significatif.
Curiosité : le mystère du dossier « inetpub »
Une curiosité a été signalée après l’installation de la mise à jour KB5055523 sous Windows 11 : la création automatique d’un dossier vide nommé C:inetpub, même sur des machines où Internet Information Services (IIS) n’est pas installé. Bien que cela ne représente pas une menace, cette situation a suscité la confusion chez les administrateurs TI. Microsoft n’a pas encore clarifié s’il s’agit d’une erreur ou d’un changement prévu.
Autres entreprises mettent également à jour leurs systèmes
Microsoft n’est pas le seul fournisseur à avoir lancé des mises à jour critiques en avril. Parmi les autres entreprises ayant publié des correctifs ce mois-ci, on trouve :
- Adobe
- Apple
- Google (Chrome, Android, Cloud)
- IBM
- AMD, Intel et Qualcomm
- VMware (Broadcom), Cisco et Fortinet
- Dell, HP, Lenovo, ASUS
- Amazon Web Services
- Synology, QNAP et WordPress
- Salesforce, SAP et Zoom
- Distributions Linux comme Ubuntu, Red Hat et SUSE
Conclusion : un mois de haute tension en cybersécurité
Le déploiement massif de correctifs en avril souligne de nouveau la complexité de maintenir les infrastructures sécurisées face à un volume croissant de menaces. L’exploitation active d’une vulnérabilité sans correctif pour Windows 10 et la présence de multiples failles critiques confirment l’urgence de disposer de stratégies de mise à jour et de segmentation des réseaux.
Des experts, tels que ceux de Tenable et Action1, ont averti que les failles comme celle du CLFS pourraient faciliter des déplacements latéraux et une persistance dans des systèmes compromis, ce qui les rend particulièrement attractives pour les groupes de ransomware.
Les entreprises et les administrateurs doivent agir rapidement : installer les correctifs disponibles, surveiller les systèmes sans mises à jour immédiates et appliquer des mesures de mitigation en attendant la disponibilité des correctifs.
Sources : Microsoft, The Hacker News, BleepingComputer, Segu-Info.
