Microsoft a publié ce mois-ci des correctifs pour 65 vulnérabilités de sécurité, dont 9 critiques, dans le cadre de son traditionnel Patch Tuesday.
Depuis le début de l’année, le rythme des correctifs s’intensifie pour Microsoft. Avec déjà près de la moitié du total de vulnérabilités corrigées en 2024, l’éditeur est confronté à une pression croissante pour contenir les failles, dont certaines sont activement exploitées. En juin, 65 vulnérabilités (CVE) ont été corrigées, selon les informations officielles publiées par le Microsoft Security Response Center (MSRC), dont 9 critiques. Deux vulnérabilités zero day sont recensées, dont une fait déjà l’objet d’une exploitation active à grande échelle. Plusieurs failles restent cependant non corrigées, comme BadSuccessor, soulevant des inquiétudes sur le rythme et la portée de la réponse sécuritaire de l’éditeur.
Une CVE activement exploitée dès sa divulgation
Parmi les vulnérabilités les plus notables de ce Patch Tuesday figure la CVE-2025-33053. Il s’agit d’une faille d’exécution de code à distance dans le composant WebDAV (Web Distributed Authoring and Versioning), un protocole étendant les capacités de HTTP. Cette CVE est classée comme critique par Microsoft, et son exploitation a été confirmée. Wilfried Bécard, chercheur en cybersécurité chez Synacktiv, a mis au jour cette vulnérabilité majeure dans Active Directory. Elle permet l’exécution de code à distance et l’élévation de privilèges sur les systèmes Windows sans signature SMB (config par défaut). Check Point Research indique que le groupe Stealth Falcon exploiterait ce 0day.
Les attaquants utilisent des fichiers .url piégés pour inciter les cibles à exécuter du code malveillant. Cette méthode a permis une prise de contrôle distante sans interaction supplémentaire. La faille touche les systèmes Windows exposant le service WebDAV non protégé. L’exploitation a été observée dans plusieurs campagnes ciblées.
La CVE-2025-33053 est une des rares vulnérabilités zero day signalées et exploitées activement dès le jour du Patch Tuesday. (une découverte de la société Sinaktiv)
Microsoft a publié un correctif dans son Patch Tuesday de juin. La base de connaissance KB5039705, consultée le 11 juin 2025, fournit les détails de la vulnérabilité ainsi que les systèmes affectés. Les systèmes Windows Server 2016, 2019, 2022 et Windows 10/11 sont concernés, notamment lorsque les services WebDAV sont activés.
BadSuccessor reste non corrigée malgré une divulgation publique
À l’inverse, Microsoft n’a pas encore corrigé la vulnérabilité CVE non référencée mais surnommée « BadSuccessor« , découverte par les chercheurs d’Akamai. Cette faille permet une élévation de privilèges dans les environnements Active Directory. Elle a été divulguée publiquement le 21 mai 2025 par Akamai, preuve de concept à l’appui.
L’exploitation repose sur l’existence d’au moins un contrôleur de domaine sous Windows Server 2025. Selon Tenable, cette configuration ne concerne qu’environ 0,7 % des domaines Active Directory étudiés. Malgré sa portée limitée, la disponibilité publique d’un exploit, notamment via l’outil SharpSuccessor intégré dans les frameworks d’attaque NetExec et BloodyAD, renforce les risques.
Microsoft a confirmé qu’un correctif est prévu, mais aucune date précise n’a été fournie au moment de la publication de cet article. Le MSRC n’a pas encore attribué de CVE officielle à cette faille. Les administrateurs sont invités à limiter les permissions dans Active Directory et à surveiller tout comportement anormal des identités disposant de privilèges élevés.
Une autre zero day divulguée mais non exploitée
La deuxième faille zero day identifiée en juin, selon Microsoft, fait l’objet d’une divulgation publique, mais aucun cas d’exploitation n’a été confirmé à ce jour. Il s’agit de la CVE-2025-33632, une vulnérabilité de type « information disclosure » affectant Windows Kernel. Cette CVE a été notifiée par un chercheur indépendant, mais Microsoft classe le risque comme modéré, la faille ne permettant pas d’exécution de code ou d’élévation directe de privilèges.
Selon le rapport du MSRC, consulté le 11 juin 2025, cette vulnérabilité est cependant considérée comme suffisamment sensible pour avoir justifié un correctif immédiat.
Un patch controversé pour la CVE-2025-21204
En avril dernier, Microsoft corrigeait la CVE-2025-21204, une faille d’élévation de privilèges. Dans le cadre de la mise à jour cumulative publiée ce mois-ci, l’éditeur a modifié sa méthode de sécurisation. Un dossier nommé %systemdrive%\inetpub est désormais généré pour renforcer certaines permissions du système. Cependant, plusieurs utilisateurs l’ont supprimé manuellement, craignant une modification non documentée.
Face aux inquiétudes, Microsoft a publié un script de remédiation, consulté le 11 juin 2025, permettant de restaurer ce répertoire avec les bonnes permissions et de rétablir les listes de contrôle d’accès (ACL) appropriées. Il est explicitement recommandé à toute organisation ayant supprimé manuellement le dossier de lancer ce script, sous peine de dysfonctionnements des services dépendants.
Microsoft publie un script officiel pour corriger manuellement la suppression du dossier système créé lors du correctif de la CVE-2025-21204.
Un volume de correctifs toujours soutenu
Avec les 65 vulnérabilités corrigées ce mois-ci, le total des CVE publiées par Microsoft en 2025 atteint désormais 486, selon le suivi de Tenable Research. À mi-parcours de l’année, ce chiffre représente déjà près de 48 % du total de 2024, qui s’élevait à 1 009 vulnérabilités selon les archives du MSRC.
La majorité des failles de juin sont classées « importantes » par Microsoft, car elles permettent généralement une élévation de privilèges, un contournement de fonctionnalités de sécurité ou une divulgation d’informations. Elles concernent un éventail large de produits, notamment Microsoft Office, Windows Kernel, les navigateurs Edge basés sur Chromium, ainsi que des composants tels que Microsoft Dynamics 365.
Le détail complet de ces vulnérabilités est accessible sur la page officielle MSRC – June 2025 Security Updates, consultée le 11 juin 2025. Chaque CVE y est documentée avec son score CVSS, sa description, les produits concernés et les références aux correctifs correspondants.
Satnam Narang, ingénieur principal chez Tenable, souligne la pression croissante qui s’exerce sur les équipes de sécurité informatique : « Le nombre de CVE corrigées en 2025 nous rapproche déjà de la moitié du total de l’année dernière. À mesure que ce chiffre augmente chaque année, la pression sur les défenseurs du cyberespace pour atténuer efficacement ces vulnérabilités s’intensifie également.«
Cette dynamique reflète une tendance plus large : l’augmentation continue des surfaces d’attaque, l’évolution rapide des techniques d’exploitation, et la démocratisation d’outils de type « exploit framework » qui facilitent l’industrialisation des campagnes malveillantes.
Certaines failles, comme celles utilisées par le groupe Cl0p en 2023 contre les logiciels de transfert de fichiers (MOVEit, GoAnywhere), ont démontré la vitesse avec laquelle une vulnérabilité zero day peut être exploitée à grande échelle, motivée par des gains financiers immédiats. L’exploitation rapide de la CVE-2025-33053 semble suivre une trajectoire similaire.
