Corrections apportées par le Patch Tuesday Février 2025 de Microsoft!!
Aujourd'hui, on se retrouve pour parler du Patch Tuesday de février 2025 publié par Microsoft apportant la correction d'un ensemble de 55 vulnérabilités dans lesquels se trouvent 4 failles zero-day.
Celui-ci est moins important que celui du mois dernier mais permet de corriger des failles de sécurité critiques permettant de réaliser des exécutions de code à distance dont font parties:
- La CVE-2025-21177 sur Microsoft Dynamics 365 Sales portant sur une vulnérabilité de type Server-Side Request Forgery (SSRF) permettant à l'attaquant de manipuler le serveur pour effectuer des requêtes HTTP. Une fois que celui-ci est autorisé, il a la possibilité d'élever ses privilèges sur un réseau.
- La CVE-2025-21381 sur Microsoft Office - Excel exploitant une vulnérabilité d'exécution de code à distance.
- La CVE-2025-21379 portant sur une vulnérabilité de sécurité sur le service DHCP de Windows Server.
- La CVE-2025-21379 portant sur une vulnérabilité de sécurité sur le service DHCP de Windows Server.
On peut également citer la CVE-2025-21351 au sein de l'Active Directory (ADDS) permettant de réaliser un déni de service. Il s'agit d'une vulnérabilité de déni de service de l'API des services de domaine Active Directory.
Au niveau des quatre failles zero-day, on apprend que deux d'entre elles sont activement exploitées tandis que les deux autres ont été publiquement dévoilés.
- La CVE-2025-21391 portant sur Windows Storage (gestion du stockage de Windows) permet à l'attaquant de supprimer des fichiers ciblés sur une machine Windows et que l'on n'obtient pas de privilèges SYSTEM au niveau de la machine. Même si elle ne permet pas la divulgation d'informations confidentielles, elle permet à un attaquant de supprimer des données pouvant inclure des données entraînant l'indisponibilité du service. On sait qu'elle touche Windows 10, 11 et Server 2026 et les versions ultérieures.
Au niveau des quatre failles zero-day, on apprend que deux d'entre elles sont activement exploitées tandis que les deux autres ont été publiquement dévoilés.
- La CVE-2025-21391 portant sur Windows Storage (gestion du stockage de Windows) permet à l'attaquant de supprimer des fichiers ciblés sur une machine Windows et que l'on n'obtient pas de privilèges SYSTEM au niveau de la machine. Même si elle ne permet pas la divulgation d'informations confidentielles, elle permet à un attaquant de supprimer des données pouvant inclure des données entraînant l'indisponibilité du service. On sait qu'elle touche Windows 10, 11 et Server 2026 et les versions ultérieures.
- La CVE-2025-21418 porte sur le pilote Ancillary Function pour WinSock et permet d'obtenir les privilèges SYSTEM.
- La CVE-2025-21194 n'affecte que certains appareils Surface (liste disponible sur ce lien) et permet de contourner leur sécurité. Sous certaines conditions, il est possible de contourner l'UEFI (Unified Extensible Firmware Interface) pour compromettre l'hyperviseur ainsi que le noyau sécurisé.
Microsoft indique qu'elle est complexe à exploiter et qu'il est nécessaire que la virtualisation sur l'appareil soit utilisé.
- La CVE-2025-21377 concerne le protocole NTLM puisqu'elle permet de révéler le hash NTLMv2 d'un utilisateur à l'attaquant pouvant l'utiliser pour s'authentifier en tant qu'utilisateur. On peut donc usurper l'identité de l'utilisateur, tenter de casser le hash NTLM pour obtenir le mot de passe de l'utilisateur en clair ou l'utiliser dans des attaques de type Pass-the-Hash.
De plus, cette exploitation nécessite une interaction de la part de l'utilisateur en réalisant un seul clic comme une sélection, l'inspection ou l'exécution d'une autre autre que l'ouverture ou l'exécution du fichier. Elle touche Windows 10, 11 et Server 2008 et les versions ultérieures.
- La CVE-2025-21194 n'affecte que certains appareils Surface (liste disponible sur ce lien) et permet de contourner leur sécurité. Sous certaines conditions, il est possible de contourner l'UEFI (Unified Extensible Firmware Interface) pour compromettre l'hyperviseur ainsi que le noyau sécurisé.
Microsoft indique qu'elle est complexe à exploiter et qu'il est nécessaire que la virtualisation sur l'appareil soit utilisé.
- La CVE-2025-21377 concerne le protocole NTLM puisqu'elle permet de révéler le hash NTLMv2 d'un utilisateur à l'attaquant pouvant l'utiliser pour s'authentifier en tant qu'utilisateur. On peut donc usurper l'identité de l'utilisateur, tenter de casser le hash NTLM pour obtenir le mot de passe de l'utilisateur en clair ou l'utiliser dans des attaques de type Pass-the-Hash.
De plus, cette exploitation nécessite une interaction de la part de l'utilisateur en réalisant un seul clic comme une sélection, l'inspection ou l'exécution d'une autre autre que l'ouverture ou l'exécution du fichier. Elle touche Windows 10, 11 et Server 2008 et les versions ultérieures.
N'attendez donc pas pour patcher vos appareils sous Windows.
Commentaires
Enregistrer un commentaire