Microsoft : premier Patch Tuesday de l'année
Microsoft vient de dévoiler son premier Patch Tuesday de l'année, qui comporte un total de 159 CVE dont huit zero-days. Un commentaire de Satnam Narang, Senior Staff Research Engineer de Tenable, spécialiste de la gestion de l'exposition au risque cyber. - Points de Vue
Microsoft vient de dévoiler son premier Patch Tuesday de l'année, qui comporte un total de 159 CVE dont huit zero-days. Un commentaire de Satnam Narang, Senior Staff Research Engineer de Tenable, spécialiste de la gestion de l'exposition au risque cyber.
"Microsoft a corrigé un impressionnant total de 159 CVE lors de son premier Patch Tuesday de 2025. Ce n'est pas seulement le plus grand nombre de CVE corrigés en janvier, mais il s'agit du plus grand nombre de CVE corrigés dans le cadre de n'importe quelle publication Patch Tuesday depuis 2017. Microsoft a établi un record en avril 2024, en corrigeant 147 CVEs. Depuis 2017, le nombre moyen de CVE corrigés en janvier était de 60. Avant 2025, la plus grande publication de Patch Tuesday en janvier était celle de 2023, où Microsoft avait corrigé 98 CVE. En 2024, Microsoft avait ouvert l'année avec 48 CVE corrigés. Ce mois-ci, il y a eu huit zero-days, dont trois qui ont été exploités et cinq qui ont été divulgués publiquement avant le Patch Tuesday.
Les trois vulnérabilités zero-day exploitées dans la nature (CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335) se trouvent dans un composant du noyau NT de Windows Hyper-V qui gère la communication entre les machines virtuelles et le système d'exploitation hôte.
On en sait peu sur l'exploitation en dehors du cadre de ces failles. En tant que bugs d'élévation de privilèges, ils sont utilisés dans le cadre d'activités post-compromission, lorsqu'un attaquant a déjà accédé à un système cible. C'est un peu comme si un attaquant parvenait à entrer dans un bâtiment sécurisé, mais ne pouvait pas accéder à des parties plus sécurisées de l'installation car il devait prouver qu'il en a l'autorisation. Dans ce cas, il parvient à tromper le système pour lui faire croire qu'il devrait avoir l'autorisation.
Bien souvent, on voit beaucoup de bugs d'élévation de privilèges exploités dans la nature comme des zero-days lors des Patch Tuesdays, ce n'est pas toujours l'accès initial à un système qui pose problème aux attaquants car ils ont plusieurs voies pour y parvenir. Le plus grand défi est d'obtenir un accès plus privilégié une fois qu'ils ont eu un accès initial au système. Les publications Patch Tuesday de 2023 et 2024 ont inclus 45 zero-days exploités dans la nature. Les failles d'élévation de privilèges ont été les plus courantes chaque année, représentant 19 failles au total, soit 42 %.
Microsoft a également corrigé trois vulnérabilités dans Microsoft Access, identifiées comme CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395. Il s'agit de bugs d'exécution de code à distance qui peuvent être exploités si un attaquant parvient à convaincre une victime de télécharger et d'exécuter un fichier malveillant via une technique de social engineering. Ce qui rend ces vulnérabilités particulièrement intéressantes, c'est qu'elles ont apparemment été découvertes à l'aide de l'IA, étant attribuées à une plateforme appelée Unpatched.ai. Unpatched.ai avait également été crédité de la découverte d'une faille dans la mise à jour Patch Tuesday de décembre 2024 (CVE-2024-49142). La détection automatisée des vulnérabilités utilisant l'IA a récemment suscité beaucoup d'attention, il est donc intéressant de voir ce service être crédité pour avoir trouvé des bugs dans les produits Microsoft. Cela pourrait être le premier de nombreux exemples en 2025."
Quelle est votre réaction ?
