Patch Tuesday – Mai 2025 : Microsoft a corrigé 72 vulnérabilités dont 7 failles zero-day !
Mardi 13 mai 2025, Microsoft a dévoilé son nouveau Patch Tuesday avec à la clé des correctifs de sécurité pour un total de 72 vulnérabilités, dont 7 failles de sécurité zero-day ! Faisons le point.
Parmi les 72 vulnérabilités patchées par Microsoft dans ses produits et services, il y a 11 failles classifiées comme étant critique, dont 5 dans des services liés à Azure :
- Azure : CVE-2025-33072
- Azure Automation : CVE-2025-29827
- Azure DevOps : CVE-2025-29813
- Azure Storage Resource Provider : CVE-2025-29972
- Microsoft Dataverse : CVE-2025-47732
- Microsoft Office : CVE-2025-30377 et CVE-2025-30386
- Power Apps : CVE-2025-47733
- Passerelle des services Bureau à distance (RDG) : CVE-2025-29967
- Client Bureau à distance : CVE-2025-29966
- Windows – Virtual Machine Bus : CVE-2025-29833
Pour le reste, Microsoft a corrigé des vulnérabilités dans d’autres produits et la suite Office est particulièrement affectée, notamment avec 9 failles corrigées dans Excel. Nous pouvons noter aussi : une faille déni de service dans Hyper-V (CVE-2025-29955) et une autre dans LDAP (CVE-2025-29954), ainsi que 8 vulnérabilités corrigées dans les services de routage et d’accès distant de Windows Server (RRAS).
Sommaire
-
7 failles zero-day dont 5 exploitées par les cybercriminels
- CVE-2025-30400 – Windows – Librairie DWM Core
- CVE-2025-32701 – Windows – Pilote CLFS
- CVE-2025-32706 – Windows – Pilote CLFS
- CVE-2025-32709 – Windows – Ancillary Function Driver for WinSock
- CVE-2025-30397 – Internet Explorer et Microsoft Edge
- CVE-2025-26685 – Microsoft Defender for Identity
- CVE-2025-32702 – Visual Studio
- Les mises à jour pour Windows 10 et Windows 11
7 failles zero-day dont 5 exploitées par les cybercriminels
Le Patch Tuesday de Mai 2025 corrige 7 failles de sécurité zero-day ! Parmi ces failles, 5 sont déjà exploitées dans le cadre de cyberattaques, tandis que les 2 autres sont seulement connues publiquement (y compris avant la sortie de ce patch).
Commençons par évoquer les 5 vulnérabilités zero-day exploitées.
CVE-2025-30400 – Windows – Librairie DWM Core
Cette faille de sécurité considérée comme importante correspond à une faiblesse de type use after free et elle permet une élévation de privilèges. La librairie DWM Core est utilisée par Windows, notamment pour le rendu de l’interface graphique.
“Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.“, précise Microsoft. L’entreprise américaine reconnait l’exploitation de cette vulnérabilité sans toutefois fournir de détails.
Systèmes affectés : Windows 10 v1809 et supérieur, toutes les versions de Windows 11, et Windows Server 2019 et supérieur.
CVE-2025-32701 – Windows – Pilote CLFS
La description de cette vulnérabilité est similaire à la faille décrite précédemment, à la différence qu’ici, c’est un autre composant qui est affecté : le Common Log File System.
“Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.“, précise Microsoft. Il s’agit donc d’une vulnérabilité permettant une élévation de privilèges en local, sur Windows.
Systèmes affectés : toutes les versions de Windows 10 et supérieur, toutes les versions de Windows 11, et Windows Server 2008 et supérieur.
CVE-2025-32706 – Windows – Pilote CLFS
Une seconde faille zero-day a été corrigée dans le pilote CLFS de Windows. Celle-ci permet également une élévation de privilèges sur la machine locale.
“Une mauvaise validation d’entrée dans le pilote CLFS de Windows permet à un attaquant autorisé d’élever ses privilèges localement.“, précise Microsoft. Ceci peut mener l’attaquant à l’obtention des privilèges SYSTEM.
Systèmes affectés : toutes les versions de Windows 10 et supérieur, toutes les versions de Windows 11, et Windows Server 2008 et supérieur.
CVE-2025-32709 – Windows – Ancillary Function Driver for WinSock
Reportée par un chercheur anonyme, cette vulnérabilité se situe dans un composant Windows nommé “Ancillary Function Driver for WinSock“. Elle permet une élévation de privilèges en local, mais cette fois-ci, Microsoft n’évoque pas les privilèges SYSTEM.
“Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir des privilèges d’administrateur.“, peut-on lire.
Systèmes affectés : toutes les versions de Windows 10 et supérieur, toutes les versions de Windows 11, et Windows Server 2012 et supérieur.
CVE-2025-30397 – Internet Explorer et Microsoft Edge
La 5ème et dernière faille zero-day exploitée affecte le moteur de script utilisé par les navigateurs Web. Elle affecte à la fois Internet Explorer et Microsoft Edge, notamment lorsque ce dernier est utilisé en Mode IE. “L’exploitation réussie de cette vulnérabilité nécessite qu’un attaquant prépare d’abord la cible pour qu’elle utilise Edge en mode Internet Explorer.“, précise Microsoft.
Si un attaquant transmet un lien piégé à un utilisateur et que cet utilisateur clique sur le lien, alors cela peut mener à une exécution de code à distance. “Cette attaque nécessite qu’un client authentifié clique sur un lien afin qu’un attaquant non authentifié puisse lancer une exécution de code à distance.“.
Systèmes affectés (via les navigateurs) : toutes les versions de Windows 10 et supérieur, toutes les versions de Windows 11, et Windows Server 2008 et supérieur.
CVE-2025-26685 – Microsoft Defender for Identity
Cette faille de sécurité a été divulguée publiquement, mais elle n’est pas exploitée à ce jour. Les équipes de Microsoft ont corrigé une faille de sécurité dans Microsoft Defender for Identity qui permet à un attaquant non authentifié d’usurper un autre compte.
Pour exploiter cette vulnérabilité de type spoofing, l’attaquant non authentifié doit disposer d’un accès sur le réseau local. Le correctif semble avoir un impact sur le fonctionnement de Microsoft Defender for Identity, comme l’explique Microsoft : “Aucune action administrative n’est requise. Les clients qui ont complètement désactivé NTLM dans leur environnement et qui souhaitent que la fonctionnalité continue à fonctionner doivent ouvrir un dossier de support pour demander la réactivation de la fonctionnalité.“
CVE-2025-32702 – Visual Studio
Cette faille de sécurité a été divulguée publiquement, mais elle n’est pas exploitée à ce jour. Elle affecte Visual Studio (à ne pas confondre avec Visual Studio Code) et elle permet à un attaquant d’exécuter du code localement sur la machine où une version vulnérable de Visual Studio est utilisée.
Les versions suivantes sont affectées :
- Microsoft Visual Studio 2022 version 17.13
- Microsoft Visual Studio 2022 version 17.12
- Microsoft Visual Studio 2022 version 17.10
- Microsoft Visual Studio 2022 version 17.8
- Microsoft Visual Studio 2019 version 16.11 (includes 16.0 – 16.10)
Les mises à jour pour Windows 10 et Windows 11
Retrouvez nos articles dédiés à la présentation des nouvelles mises à jour pour Windows 10 et Windows 11.