Hier était le patch de Microsoft mardi pour mars, qui a apporté des mises à jour de sécurité qui ont abordé 58 nouvelles vulnérabilités. Selon la société, six des vulnérabilités de Windows sont déjà exploitées et attaquées dans la nature. Une autre vulnérabilité au pouvoir était également également connue publiquement.
Microsoft propose des détails clairsemés sur les vulnérabilités de leur guide de mise à jour de sécurité. Heureusement, Dustin Childs plonge dans le patch avec beaucoup plus de détails sur le blog Trend Micro ZDI, toujours avec un œil pour les administrateurs qui gèrent les réseaux d’entreprise.
Le prochain patch prévu mardi aura lieu le 8 avril 2025.
Flaws de sécurité Windows adressés
Un grand nombre de vulnérabilités corrigées – 37 d’entre elles cette fois – sont réparties sur diverses versions Windows, y compris Windows Server, 10 et 11, pour lesquelles Microsoft propose toujours des mises à jour de sécurité. (N’oubliez pas que la prise en charge officielle de Windows 10 se termine plus tard cette année!)
Les Windows 7 et 8.1 ne recevant plus de mises à jour de sécurité, ils deviennent de plus en plus vulnérables aux menaces de sécurité. Si votre matériel le permet, vous devez passer à Windows 10 (22H2) ou Windows 11 (24H2) pour continuer à recevoir des mises à jour de sécurité.
Windows sous attaque
Selon Microsoft, il y a déjà des attaques sur six des vulnérabilités de sécurité Windows adressées dans le correctif. Cependant, Microsoft ne classe aucun d’entre eux comme critique. On ne sait généralement pas à quel point les attaques contre ces vulnérabilités sont actuellement répandues. Microsoft ne fournit aucune information à ce sujet.
Selon Dustin Childs, la vulnérabilité CVE-2025-26633 dans la console de gestion Microsoft (MMC) est utilisée par le groupe ATP Encrypthub (AKA LARVA-208) pour les attaques ciblées. Les auteurs ont déjà attaqué avec succès plus de 600 organisations. La faille est dans la gestion des fichiers MSC, que les attaquants peuvent utiliser pour contourner les mécanismes de sécurité et exécuter du code avec les droits de l’utilisateur.
Si vous montez un fichier de disque dur virtuel spécialement conçu (VHD), il existe également un exploit pour les vulnérabilités CVE-2025-24993 et CVE-2025-24985. Alors qu’une vulnérabilité RCE (Exécution de code distant) affecte le système de fichiers NTFS, l’autre est dans le pilote du système de fichiers FAT. En combinaison avec une vulnérabilité EOP (élévation du privilège), un attaquant pourrait reprendre l’ensemble du système.
Si un utilisateur connecté peut être trompé dans l’exécution d’un programme spécialement conçu qui exploite CVE-2025-24983 dans le sous-système du noyau Win32, le code avec les privilèges système peut être exécuté. En combinaison avec un exploit RCE, cela pourrait conduire à une prise de contrôle du système.
Vulnérabilités de Windows critiques
Microsoft classe cinq vulnérabilités RCE dans Windows comme critiques, qui n’ont pas encore été attaquées. Deux vulnérabilités dans les services de bureau à distance – CVE-2025-24035 et CVE-2025-24045 – semblent particulièrement problématiques. Un attaquant n’aurait besoin de se connecter qu’à une passerelle RDS vulnérable afin d’injecter et d’exécuter du code.
Flaws de sécurité Microsoft Office adressé
Microsoft a fixé 11 vulnérabilités dans ses produits et services de bureau, qui sont tous des vulnérabilités RCE. La vulnérabilité CVE-2025-26630 dans l’accès se distingue comme elle était déjà connue à l’avance (vulnérabilité zéro-jour). Cependant, la seule vulnérabilité identifiée comme critique est CVE-2025-24057, qui peut probablement affecter toutes les applications de bureau. Il y a trois vulnérabilités RCE chacune dans Word et Excel.
Flaws de sécurité Microsoft Edge adressé
La dernière mise à jour de sécurité pour le navigateur Edge de Microsoft est la version 134.0.3124.51 du 6 mars, basée sur Chromium 134.0.6998.45. Il corrige une vulnérabilité de sécurité spécifique au bord (CVE-2025-26643). Google a ensuite publié une nouvelle mise à jour de sécurité pour Chrome (version 134.0.6998.89) le 10 mars, ce qui a fixé une vulnérabilité zéro-jour.
