En ce mois de rentrée, Microsoft épargne les RSSI et administrateurs systèmes avec un Patch Tuesday plus léger que les précédents. La livraison de septembre comprend 81 correctifs contre 137 en août dernier. Dans le détail, 13 des failles corrigées sont considérées comme critiques. Satnam Narang, chercheur chez Tenable, souligne que, ce mois-ci, Microsoft a réparé davantage de vulnérabilités d'élévation de privilèges que de failles d'exécution de code à distance. Dans l’ensemble de ces correctifs, les équipes de sécurité devront se pencher en priorité sur deux vulnérabilités zero day.
Une controverse sur la faille touchant Windows SMB
La première - référencée comme CV-2025-5534 - concerne une faille d’élévation de privilèges dans Windows SMB (Server Message Block). Elle a déjà été diffusée publiquement. Dans certaines configurations, cette brèche pourrait exposer le serveur SMB aux attaques par relais, a déclaré Microsoft. Ce correctif semble avoir été publié pour aider les clients à auditer et évaluer leur environnement et à identifier les problèmes d'incompatibilité avant d'utiliser certaines fonctionnalités de renforcement des serveurs SMB, a déclaré Satnam Narang. Un avis partagé par Mike Walters, président d’Action1, « ce correctif est un exemple de correctifs de septembre qui nécessitent des activités supplémentaires après le déploiement ». Les entreprises doivent d'abord déployer les mises à jour pour activer l'audit, puis évaluer la compatibilité avant de prendre des mesures de renforcement des serveurs PME, notamment la signature et la mise en œuvre de la protection étendue pour l'authentification. Les RSSI devraient planifier une approche progressive du renforcement, incluant l'évaluation, les tests et la mise en œuvre, afin d'éviter toute interruption d'activité, a conseillé le dirigeant.
Pour autant d’autres spécialistes critiques l’usage abusif du classement CVE de la faille. Tyler Reguly, directeur associé de la R&D chez Fortra, a déclaré, « elle aurait dû être rejetée par les autorités CVE. Nous savons que les attaques par relais sont possibles contre les PME et que des mécanismes de renforcement existent pour y remédier ». Il ajoute que Microsoft explique cette CVE a été publiée « pour fournir des fonctionnalités d’audit et d’évaluation » et que dans ce cadre, « il s’agit d’une utilisation abusive du système CVE ». Pour lui, « les RSSI devraient demander à Microsoft si cette CVE présente réellement une vulnérabilité. Si un fournisseur se sert d’une CVE simplement pour ajouter une fonctionnalité, les RSSI du monde entier doivent s’y opposer ».
La seconde faille critique n’est pas récente. Elle a été divulguée en 2024 et cible Newtonsoft.Json incluse dans SQL Server. « La CVE-2024-21907 corrige une vulnérabilité de gestion de conditions exceptionnelles dans Newtonsoft.Json avant la version 13.0.1 », explique Microsoft. Il ajoute, « Les données trafiquées transmises à la méthode JsonConvert.DeserializeObject peuvent déclencher une exception StackOverflow entraînant un déni de service. Selon l'utilisation de la bibliothèque, un attaquant distant non authentifié peut provoquer le déni de service.»
Vulnérabilités dans Hyper-V et Windows NTLM
Les administrateurs Windows doivent également veiller à corriger rapidement deux vulnérabilités (CVE-2025-54098 et CVE-2025-55224) dans l'hyperviseur de type 1 Hyper-V. Un contrôle d'accès inapproprié dans celui-ci peut donner à un attaquant autorisé la capacité d'élever les privilèges localement, a déclaré la firme de Redmond. Selon Mike Walter, ces failles exigent une attention particulière de la part des RSSI gérant les datacenters des entreprises. « Ces failles de type « invité vers hôte » pourraient mettre en danger des hôtes de virtualisation entiers exécutant des charges de travail critiques » constate-t-il. Il ajoute « les responsables de la sécurité doivent collaborer étroitement avec celles des centres de données et de virtualisation pour appliquer rapidement ces correctifs dans les environnements de production. »
Le dirigeant a également attiré l'attention des équipes sécurité sur la vulnérabilité CVE-2025-54918 provoquant des élévation de privilèges sur NTLM de Windows, une suite de protocoles d'autorisation utilisateur. Avec un score CVSS de 8,8, la faille affecte l'infrastructure d'authentification gérée de manière centralisée et donne aux attaquants les moyens d'obtenir des privilèges au niveau du système sur les réseaux, a-t-il déclaré. Microsoft l'a classée comme « exploitation très probable », a-t-il souligné, indiquant une urgence plus élevée que d'autres vulnérabilités similaires moins susceptibles d'être exploitées. « Les équipes doivent corriger rapidement les contrôleurs de domaine et les serveurs d'authentification, ce qui pourrait accélérer les cycles de correctifs normaux pour ces systèmes critiques », a-t-il ajouté.
Le pack HPC touché
Parmi les autres failles corrigées, Tyle Reguly de Forttra signale une vulnérabilité critique dans le pack HPC (High Performance Compute) de Microsoft. La CVE-2025-55232 donne la capacité à des attaquants non autorisés d’exécuter du code sur le réseau. « Il s'agit donc d'une vulnérabilité CVSS 9.8 à laquelle il convient de prêter attention », a-t-il déclaré. Microsoft a fourni des mesures d'atténuation pour ceux qui ne peuvent pas effectuer la mise à jour immédiatement. C'est important, a ajouté le responsable car la mise à jour pour HPC Pack 2016 vise à migrer vers HPC Pack 2019 ; il n'existe pas de correctif pour HPC Pack 2016. « Heureusement, Microsoft a qualifié cette vulnérabilité d'exploitation de peu probable, avec une gravité importante », a-t-il précisé, « mais il convient d'y prêter attention si le pack HPC Pack est déployé dans votre environnement. »
Enfin, Satnam Narang de Tenable insiste sur la correction d’une vulnérabilité touchant NTFS et provoquant une exécution de code à distance. Selon l’expert, elle n’est pas à négliger, car NTFS est le principal système de fichiers utilisé par Windows.