Mardi, Microsoft a déployé un nouveau Patch Tuesday critique, avec 55 vulnérabilités corrigées, dont deux zero-day exploitées par les hackers. Des failles touchent notamment le stockage Windows et le pilote WinSock.
Après un Patch Tuesday record publié en janvier, Microsoft vient de dévoiler son édition de février 2025. La firme de Redmond annonce avoir corrigé 55 vulnérabilités, dont trois sont jugées critiques et quatre sont des failles zero-day. Parmi ces dernières, deux sont activement exploitées par des pirates, et deux autres ont été divulguées publiquement.
Cette mise à jour vient contrer la croissance des failles d'élévation de privilèges dans l'arsenal des cybercriminels, alors que les groupes APT sophistiqués intensifient leurs attaques.
Des zero-day Windows préoccupantes à corriger d'urgence
Parmi les correctifs les plus urgents figure la CVE-2025-21418, une vulnérabilité d'élévation de privilèges qui touche le pilote de fonctions auxiliaires de Windows (afd.sys). Cette faille permet à un attaquant disposant d'un accès local d'obtenir les privilèges SYSTEM. Un risque d'autant plus élevé que le composant afd.sys est crucial pour la connectivité réseau Windows.
La seconde zero-day activement exploitée, référencée CVE-2025-21391, concerne Windows Storage. Avec un score CVSS de 7.1, elle permet à un attaquant authentifié localement de supprimer des fichiers système critiques. C'est une première pour ce type de vulnérabilité, qui n'avait jamais été exploitée auparavant dans la nature, selon les experts. Microsoft confirme tout de même que cette faille ne permet pas d'accéder aux données confidentielles du PC, mais elle peut entraîner des interruptions de service importantes.
Comme l'explique Satnam Narang, ingénieur chez Tenable, « Ces deux vulnérabilités semblent pouvoir être exploitées après une compromission initiale, ce qui signifie qu'un attaquant doit d'abord obtenir un accès local au système vulnérable par d'autres moyens, comme l'exploitation d'une autre faille pour un accès initial, une technique d'ingénierie sociale ou l'utilisation d'identifiants compromis ou faibles. »
Les deux autres zero-day concernent Microsoft Surface (CVE-2025-21194) et NTLM (CVE-2025-21377). Si elles ne sont pas encore exploitées, leur divulgation publique avant la disponibilité du correctif les rend dangereuses et nécessite une attention immédiate des équipes IT. La vulnérabilité NTLM, notamment, pourrait permettre à un attaquant de récupérer des hachages de mots de passe NTLMv2, ouvrant ainsi la voie à de potentielles usurpations d'identité.
L'importance d'une mise à jour rapide
Si l'on se lance dans un bilan, les vulnérabilités d'exécution de code à distance (RCE) ont pesé pour 38,2% des failles corrigées ce mois-ci, suivies par les élévations de privilèges (34,5%). Satnam Narang nous dit qu'« en 2025, cinq zero-day ont été exploitées dans la nature dans le cadre du Patch Tuesday, et toutes concernaient des failles d'élévation de privilèges. » Cela prouve bien l'amélioration des techniques d'attaque motivées par une exploitation post-compromission.
La menace est d'autant plus sérieuse que certaines de ces vulnérabilités ont déjà été exploitées par des groupes APT sophistiqués. Pour rappel, le groupe Lazarus avait utilisé une faille similaire (CVE-2024-38193) pour déployer son rootkit FudModule. Les experts craignent aujourd'hui que ces nouvelles vulnérabilités ne soient également exploitées par des acteurs malveillants étatiques, surtout dans le contexte géopolitique actuel.
Microsoft recommande donc d'appliquer ces correctifs en priorité, particulièrement pour les systèmes critiques. Les administrateurs doivent également surveiller avec attention leur environnement pour détecter d'éventuelles tentatives d'exploitation de ces vulnérabilités avant leur correction. Des outils de détection spécifiques sont déjà disponibles pour identifier les systèmes vulnérables et les tentatives d'exploitation.
