Archives par mot-clé : BadSuccessor

backdoor, Cybersécurité, Mise à jour

Microsoft comble 107 failles en août, BadSuccessor en tête

Microsoft frappe fort en août 2025 : 107 vulnérabilités corrigées, dont la faille zero-day BadSuccessor. Les élévations de privilèges dominent une nouvelle fois le paysage cyber.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La mise à jour Patch Tuesday d’août 2025 de Microsoft corrige 107 vulnérabilités (CVE), dont 13 critiques. En tête : CVE‑2025‑53779, alias BadSuccessor, une élévation de privilèges dans Kerberos révélée en mai, désormais corrigée. Bien que son impact immédiat reste limité (seulement 0,7 % des domaines Active Directory sont vulnérables), sa dangerosité potentielle est indiscutable. La tendance est claire : pour le deuxième mois consécutif, les élévations de privilèges dépassent les exécutions de code. SharePoint et Exchange continuent d’inquiéter, notamment après les failles ToolShell. Avec déjà 20 failles SharePoint corrigées en 2025, un nouveau record est en vue. L’alerte est maintenue dans l’écosystème Microsoft.

Une tendance persistante : les élévations de privilèges dominent

Depuis juillet 2025, Microsoft constate un basculement notable : les vulnérabilités post-compromission, notamment celles liées à l’élévation de privilèges (EoP), deviennent majoritaires. En août, 39,3 % des CVE corrigées relèvent de cette catégorie, contre 41,4 % le mois précédent. Cette évolution souligne une stratégie offensive plus subtile de la part des cybercriminels, visant à contourner les défenses en profondeur via l’exploitation des privilèges élevés.

Dans ce contexte, les vulnérabilités critiques, bien que moins nombreuses (13 cette fois), ne doivent pas masquer le danger latent des failles importantes, souvent moins spectaculaires, mais plus facilement exploitables dans des environnements mal surveillés.

BadSuccessor : une menace silencieuse mais sous contrôle

Révélée en mai 2025, la vulnérabilité CVE‑2025‑53779, surnommée BadSuccessor, visait le mécanisme d’authentification Kerberos dans les domaines Active Directory utilisant des comptes de service gérés délégués (dMSA) sous Windows Server 2025.

Cette faille permet à un attaquant, possédant déjà un accès de base, d’élever ses privilèges et de compromettre un domaine entier. Pourtant, l’analyse de Tenable nuance son impact : seulement 0,7 % des domaines Active Directory étaient vulnérables au moment de la divulgation. L’exploitation requiert au moins un contrôleur de domaine exécutant Windows Server 2025, un environnement encore peu répandu.

Microsoft a corrigé la faille dans cette publication, bien que son niveau de sévérité soit jugé « important » plutôt que critique. Le fait que cette vulnérabilité ait été rendue publique sans preuve d’exploitation dans la nature permet de gagner en sérénité — du moins temporairement.

SharePoint et Exchange : la menace continue de rôder

SharePoint, cible récurrente mais peu exploitée
En août, deux nouvelles failles SharePoint sont corrigées :

CVE‑2025‑49712 : exécution de code à distance,

CVE‑2025‑53760 : élévation de privilèges.

Ces correctifs arrivent dans un contexte post-ToolShell particulièrement tendu. Entre 2022 et 2024, plus de 80 vulnérabilités SharePoint ont été corrigées. Pourtant, seules six ont été activement exploitées : trois en 2023-2024 (CVE-2023-29357, CVE-2023-24955, CVE-2024-38094) et trois ToolShell en 2025 (CVE-2025-49706, -49704, -53770). Une septième, CVE‑2025‑53771, pourrait aussi avoir été exploitée, sans confirmation officielle.

Malgré ces chiffres rassurants, la méfiance reste de mise. SharePoint, par sa surface d’exposition et son usage intensif en entreprise, demeure une cible de choix.

Exchange, toujours sous pression

Autre point chaud : Microsoft Exchange Server. La faille CVE‑2025‑53786 permet une élévation de privilèges qui, si elle est combinée à d’autres vecteurs, pourrait faciliter l’accès à Exchange Online. La CISA (Cybersecurity and Infrastructure Security Agency) a classé cette vulnérabilité comme à fort potentiel d’exploitation, au point d’en faire une priorité dans sa directive d’urgence d’août 2025.

Ce regain d’attention n’est pas anodin. Depuis les vagues d’attaques Hafnium en 2021, Exchange est scruté de près. L’écosystème Microsoft reste, plus que jamais, sous tension. BadSuccessor, bien que spectaculaire dans sa conception, illustre la nuance entre gravité théorique et impact réel. Quant à SharePoint et Exchange, leur présence continue dans les bulletins de sécurité souligne une nécessité : ne jamais relâcher l’attention sur les environnements Microsoft.

Cybersécurité, Mise à jour

Microsoft sous pression, 65 failles corrigées en juin

Microsoft a publié ce mois-ci des correctifs pour 65 vulnérabilités de sécurité, dont 9 critiques, dans le cadre de son traditionnel Patch Tuesday.

Depuis le début de l’année, le rythme des correctifs s’intensifie pour Microsoft. Avec déjà près de la moitié du total de vulnérabilités corrigées en 2024, l’éditeur est confronté à une pression croissante pour contenir les failles, dont certaines sont activement exploitées. En juin, 65 vulnérabilités (CVE) ont été corrigées, selon les informations officielles publiées par le Microsoft Security Response Center (MSRC), dont 9 critiques. Deux vulnérabilités zero day sont recensées, dont une fait déjà l’objet d’une exploitation active à grande échelle. Plusieurs failles restent cependant non corrigées, comme BadSuccessor, soulevant des inquiétudes sur le rythme et la portée de la réponse sécuritaire de l’éditeur.

Une CVE activement exploitée dès sa divulgation

Parmi les vulnérabilités les plus notables de ce Patch Tuesday figure la CVE-2025-33053. Il s’agit d’une faille d’exécution de code à distance dans le composant WebDAV (Web Distributed Authoring and Versioning), un protocole étendant les capacités de HTTP. Cette CVE est classée comme critique par Microsoft, et son exploitation a été confirmée. Wilfried Bécard, chercheur en cybersécurité chez Synacktiv, a mis au jour cette vulnérabilité majeure dans Active Directory. Elle permet l’exécution de code à distance et l’élévation de privilèges sur les systèmes Windows sans signature SMB (config par défaut). Check Point Research indique que le groupe Stealth Falcon exploiterait ce 0day.

Les attaquants utilisent des fichiers .url piégés pour inciter les cibles à exécuter du code malveillant. Cette méthode a permis une prise de contrôle distante sans interaction supplémentaire. La faille touche les systèmes Windows exposant le service WebDAV non protégé. L’exploitation a été observée dans plusieurs campagnes ciblées.

La CVE-2025-33053 est une des rares vulnérabilités zero day signalées et exploitées activement dès le jour du Patch Tuesday. (une découverte de la société Sinaktiv)

Microsoft a publié un correctif dans son Patch Tuesday de juin. La base de connaissance KB5039705, consultée le 11 juin 2025, fournit les détails de la vulnérabilité ainsi que les systèmes affectés. Les systèmes Windows Server 2016, 2019, 2022 et Windows 10/11 sont concernés, notamment lorsque les services WebDAV sont activés.

BadSuccessor reste non corrigée malgré une divulgation publique

À l’inverse, Microsoft n’a pas encore corrigé la vulnérabilité CVE non référencée mais surnommée « BadSuccessor« , découverte par les chercheurs d’Akamai. Cette faille permet une élévation de privilèges dans les environnements Active Directory. Elle a été divulguée publiquement le 21 mai 2025 par Akamai, preuve de concept à l’appui.

L’exploitation repose sur l’existence d’au moins un contrôleur de domaine sous Windows Server 2025. Selon Tenable, cette configuration ne concerne qu’environ 0,7 % des domaines Active Directory étudiés. Malgré sa portée limitée, la disponibilité publique d’un exploit, notamment via l’outil SharpSuccessor intégré dans les frameworks d’attaque NetExec et BloodyAD, renforce les risques.

Microsoft a confirmé qu’un correctif est prévu, mais aucune date précise n’a été fournie au moment de la publication de cet article. Le MSRC n’a pas encore attribué de CVE officielle à cette faille. Les administrateurs sont invités à limiter les permissions dans Active Directory et à surveiller tout comportement anormal des identités disposant de privilèges élevés.

Une autre zero day divulguée mais non exploitée

La deuxième faille zero day identifiée en juin, selon Microsoft, fait l’objet d’une divulgation publique, mais aucun cas d’exploitation n’a été confirmé à ce jour. Il s’agit de la CVE-2025-33632, une vulnérabilité de type « information disclosure » affectant Windows Kernel. Cette CVE a été notifiée par un chercheur indépendant, mais Microsoft classe le risque comme modéré, la faille ne permettant pas d’exécution de code ou d’élévation directe de privilèges.

Selon le rapport du MSRC, consulté le 11 juin 2025, cette vulnérabilité est cependant considérée comme suffisamment sensible pour avoir justifié un correctif immédiat.

Un patch controversé pour la CVE-2025-21204

En avril dernier, Microsoft corrigeait la CVE-2025-21204, une faille d’élévation de privilèges. Dans le cadre de la mise à jour cumulative publiée ce mois-ci, l’éditeur a modifié sa méthode de sécurisation. Un dossier nommé %systemdrive%\inetpub est désormais généré pour renforcer certaines permissions du système. Cependant, plusieurs utilisateurs l’ont supprimé manuellement, craignant une modification non documentée.

Face aux inquiétudes, Microsoft a publié un script de remédiation, consulté le 11 juin 2025, permettant de restaurer ce répertoire avec les bonnes permissions et de rétablir les listes de contrôle d’accès (ACL) appropriées. Il est explicitement recommandé à toute organisation ayant supprimé manuellement le dossier de lancer ce script, sous peine de dysfonctionnements des services dépendants.

Microsoft publie un script officiel pour corriger manuellement la suppression du dossier système créé lors du correctif de la CVE-2025-21204.

Un volume de correctifs toujours soutenu

Avec les 65 vulnérabilités corrigées ce mois-ci, le total des CVE publiées par Microsoft en 2025 atteint désormais 486, selon le suivi de Tenable Research. À mi-parcours de l’année, ce chiffre représente déjà près de 48 % du total de 2024, qui s’élevait à 1 009 vulnérabilités selon les archives du MSRC.

La majorité des failles de juin sont classées « importantes » par Microsoft, car elles permettent généralement une élévation de privilèges, un contournement de fonctionnalités de sécurité ou une divulgation d’informations. Elles concernent un éventail large de produits, notamment Microsoft Office, Windows Kernel, les navigateurs Edge basés sur Chromium, ainsi que des composants tels que Microsoft Dynamics 365.

Le détail complet de ces vulnérabilités est accessible sur la page officielle MSRC – June 2025 Security Updates, consultée le 11 juin 2025. Chaque CVE y est documentée avec son score CVSS, sa description, les produits concernés et les références aux correctifs correspondants.

Satnam Narang, ingénieur principal chez Tenable, souligne la pression croissante qui s’exerce sur les équipes de sécurité informatique : « Le nombre de CVE corrigées en 2025 nous rapproche déjà de la moitié du total de l’année dernière. À mesure que ce chiffre augmente chaque année, la pression sur les défenseurs du cyberespace pour atténuer efficacement ces vulnérabilités s’intensifie également.« 

Cette dynamique reflète une tendance plus large : l’augmentation continue des surfaces d’attaque, l’évolution rapide des techniques d’exploitation, et la démocratisation d’outils de type « exploit framework » qui facilitent l’industrialisation des campagnes malveillantes.

Certaines failles, comme celles utilisées par le groupe Cl0p en 2023 contre les logiciels de transfert de fichiers (MOVEit, GoAnywhere), ont démontré la vitesse avec laquelle une vulnérabilité zero day peut être exploitée à grande échelle, motivée par des gains financiers immédiats. L’exploitation rapide de la CVE-2025-33053 semble suivre une trajectoire similaire.