A l'approche du printemps, Microsoft a publié à l'occasion de son patch tuesday 56 CVE relatives à de nombreux systèmes, services et produits incluant aussi bien Windows, Office, Azure, .NET, Remote Desktop Services, DNS Server ou encore Hyper-V Server. Il s'agit là d'un volume similaire à celui de février à une différence près : le nombre d'exploits est beaucoup plus conséquent. En effet, sur ces 56 trous de sécurité comblés, sept sont des zero day (niveau de sévérité important) dont six en cours d'exploitation contre deux le mois dernier. Par ailleurs, six autres failles d'exécution de code distant - non exploitées et qui n'ont pas été rendues publiques - sont classées critiques : CVE-2025-24057 (Office), CVE-2025-26645 (RDC), CVE-2025-24064 (Windows DNS), CVE-2025-24035 et CVE-2025-24045 (Windows RDS), et CVE-2025-24084 (WSL2).

 « Les six exploits zero day sont résolus par la mise à jour cumulative mensuelle », souligne Tyler Reguly, directeur associé de la recherche et du développement en matière de sécurité chez Fortra. « Cela signifie qu'une seule mise à jour doit être déployée pour corriger toutes ces vulnérabilités en même temps. Heureusement, aucun d'entre eux ne nécessite d'étapes de configuration après l'actualisation. Il en va de même pour cinq des six vulnérabilités de gravité critique ». La CVE-2025-24057 et la faille divulguée publiquement mais non exploitée CVE-2025-26630 nécessitent toutes deux des mises à jour d'Office. « Heureusement, cela limite considérablement le nombre de correctifs à apporter pour résoudre les problèmes les plus importants », ajoute M. Reguly.

Zoom sur les 6 exploits zero day

- CVE-2025-26633 : Faille de contournement de la fonctionnalité de sécurité dans la Microsoft Management Console (MMC). « Pour l’exploiter, un attaquant doit convaincre sa cible (qu’elle soit simple utilisateur ou administrateur) d’ouvrir un fichier piégé. L’ingénierie sociale reste l’une des méthodes les plus efficaces pour y parvenir. C’est d’ailleurs la deuxième faille zero day exploitée dans MMC, après la CVE-2024-43572 corrigée en octobre dernier », précise Satnam Narang, ingénieur de recherche en sécurité chez Tenable.

- CVE-2025-24985 : Faille d'exécution de code à distance du pilote du système de fichiers Windows Fast FAT affectant tous les systèmes Windows utilisant le cadre de fichiers FAT/FAT32. Il s'agit d'une combinaison de problèmes de débordement d'entier (integer overflow) et de dépassement de tas (heap overflow). Les disques durs virtuels formatés en FAT spécialement conçus peuvent exploiter une validation arithmétique incorrecte, entraînant une corruption de la mémoire et une exécution de code arbitraire avec des privilèges au niveau du noyau ;

- CVE-2025-24984 : Faille de divulgation d'informations de Windows NTFS affectant tous les systèmes utilisant le système de fichiers NFTS. La vulnérabilité résulte d'une mauvaise gestion des données sensibles de la mémoire noyau ou celle dans les fichiers journaux NTFS. Windows NTFS enregistre certains événements du système de fichiers sans nettoyer de manière adéquate le contenu de la mémoire, exposant potentiellement des données sensibles provenant de processus en cours d'exécution ou du segment de mémoire noyau et tampon.

- CVE-2025-24991 : Faille Windows NTFS out-of-bounds read information disclosure est causée par des vérifications de contraintes incorrectes lors de l'analyse des métadonnées NTFS. Les disques durs virtuels (VHD) montés peuvent déclencher une sur-lecture dans la mémoire noyau, ce qui peut entraîner une fuite de données sensibles via du heap overflow ;

- CVE-2025-24993 : Faille d'exécution de code à distance de Windows NTFS. Il s'agit d'un débordement de tampon basé sur le tas déclenché par le montage de fichiers VHD spécialement conçus. Des structures de métadonnées malformées entraînent une mauvaise gestion de la mémoire par le pilote NTFS, ce qui provoque une corruption mémoire et une exécution de code arbitraire ;

- CVE-2025-24983 : Faille d'élévation de privilèges (la seule parmi les six zero day comblées ce mois-ci) relative à Windows Win32 Kernel Subsystem. Elle « pourrait permettre à un attaquant ayant déjà un accès initial au système (via une faille ou du phishing) d’obtenir les privilèges système. Toutefois, son exploitation semble plus complexe que d’habitude, car elle repose sur l'exploitation d'une race condition [interférence survenant lorsque que des processus imbriqués essayent d'accéder simultanément aux mêmes données ce qui peut provoquer des conflits dans les logiciels] », indique Satnam Narang.