Actu
Le Patch Tuesday de Microsoft : Commentaire de Satnam Narang, Senior Staff Research Engineer chez Tenable.
avril 2025 par Satnam Narang, Senior Staff Research Engineer chez Tenable
Le Patch Tuesday de Microsoft pour ce mois-ci comprend plus d’une centaine de CVE, avec une forte concentration de failles d’élévation de privilèges. J’ai le plaisir de partager avec vous ci-dessous un commentaire de Satnam Narang, Senior Staff Research Engineer chez Tenable, sur le sujet :
« Microsoft a corrigé plus de 100 CVE pour la deuxième fois cette année. Et pour la première fois depuis août 2024, les vulnérabilités du Patch Tuesday se concentrent davantage sur les failles d’élévation de privilèges, qui représentent plus de 40 % (49) de l’ensemble des vulnérabilités corrigées. Les failles d’exécution de code à distance (RCE) sont généralement majoritaires dans les publications du Patch Tuesday, mais ce mois-ci, elles ne représentent qu’un quart des failles (31).
La CVE-2025-29824, une faille d’élévation de privilèges dans le pilote Windows Common Log File System (CLFS), est la seule vulnérabilité zero day exploitée activement ce mois-ci. Le CLFS n’en est pas à sa première apparition dans le Patch Tuesday : depuis 2022, Microsoft a corrigé 32 vulnérabilités liées au CLFS, soit une moyenne de 10 par an, dont six ont été exploitées dans la nature. La dernière faille zero day du CLFS exploitée activement a été corrigée en décembre 2024 (CVE-2024-49138).
Du point de vue d’un attaquant, les actions post-compromission nécessitent l’obtention des privilèges adéquats pour mener des actions complémentaires sur un système compromis, tels que les déplacements latéraux. Ainsi, les failles d’élévation de privilèges sont souvent prisées dans les attaques ciblées. Cependant, celles affectant le CLFS sont devenues particulièrement populaires auprès des acteurs de ransomwares au fil des années.
Bien que les failles RCE figurent habituellement en tête des statistiques globales du Patch Tuesday, la tendance s’inverse lorsqu’il s’agit des vulnérabilités zero day exploitées : depuis deux ans, les failles d’élévation de privilèges sont prédominantes, et en 2025, elles représentent déjà plus de la moitié des zero days exploités.
Microsoft a également corrigé trois vulnérabilités RCE dans les services Bureau à distance de Windows (RDP), à savoir CVE-2025-26671, CVE-2025-27480 et CVE-2025-27482. Les deux dernières sont classées critiques et la première est jugée importante. L’exploitation de ces trois vulnérabilités nécessite qu’un attaquant parvienne à gagner une course conditionnelle. Malgré cette contrainte, Microsoft a curieusement indiqué que les deux failles critiques étaient “plus susceptibles d’être exploitées”. »
