Microsoft corrige une faille Windows « Wormable » et une faille zero-day de suppression de fichiers

Se traduisent par :

Le dernier déploiement du Patch Tuesday de Microsoft s'accompagne d'un terrible avertissement pour les utilisateurs de Windows : deux vulnérabilités zero-day activement exploitées sont en circulation, et l'une d'entre elles peut permettre aux attaquants de supprimer des fichiers critiques des systèmes ciblés.

L'entreprise a publié des correctifs de sécurité urgents pour au moins 55 vulnérabilités documentées dans Windows et les applications associées, notamment des failles critiques dans Windows Storage, WinSock et Microsoft Excel. Parmi ces failles, un bug d'exécution de code à distance (RCE) dans le protocole LDAP (Lightweight Directory Access Protocol) de Windows est qualifié de « ver », ce qui suscite des inquiétudes quant à une exploitation généralisée.

Voici ce que vous devez savoir sur ces menaces et pourquoi une mise à jour immédiate est cruciale.

Table des matières

Faille de suppression de fichiers zero-day (CVE-2025-21391)

L'une des vulnérabilités les plus alarmantes corrigées dans cette mise à jour est la faille CVE-2025-21391, une faille d'élévation de privilèges dans Windows Storage qui permet aux attaquants de supprimer des fichiers sur le système d'une victime. Cela peut entraîner des perturbations majeures, une instabilité du système ou même des pannes de service, ce qui constitue une menace grave pour les utilisateurs individuels et les entreprises.

Étant donné que cette faille est déjà activement exploitée, les utilisateurs de Windows doivent appliquer les correctifs immédiatement pour éviter d’éventuelles attaques.

La faille WinSock accorde des privilèges SYSTEM (CVE-2025-21418)

Une autre faille zero-day critique, CVE-2025-21418, affecte le pilote de fonction auxiliaire Windows pour WinSock. Si elle est exploitée avec succès, elle accorde aux attaquants des privilèges de niveau SYSTEM, leur donnant un contrôle quasi complet sur un périphérique affecté.

Microsoft a classé cette vulnérabilité comme une menace hautement prioritaire, exhortant les administrateurs à déployer des correctifs sans délai pour minimiser le risque de compromission.

Un bug d'exécution de code à distance « Wormable » (CVE-2025-21376)

L’une des vulnérabilités les plus préoccupantes de cette mise à jour est CVE-2025-21376, une faille d’exécution de code à distance (RCE) dans le protocole Windows Lightweight Directory Access Protocol (LDAP).

Ce bug permet à un attaquant non authentifié d'envoyer des requêtes spécialement conçues à un serveur LDAP vulnérable, ce qui entraîne un dépassement de tampon qui pourrait être exploité pour l'exécution de code à distance. Les experts en sécurité avertissent que cette vulnérabilité est un ver, ce qui signifie qu'elle pourrait être utilisée pour se propager d'elle-même sur les réseaux sans interaction de l'utilisateur.

Selon ZDI (Zero Day Initiative), les organisations utilisant des serveurs LDAP doivent tester et déployer le correctif de toute urgence pour éviter d'éventuelles attaques généralisées.

Exécution de code à distance Microsoft Excel (CVE-2025-21387)

Les utilisateurs de Microsoft Excel sont également exposés à un risque en raison de la vulnérabilité CVE-2025-21387, une vulnérabilité d'exécution de code à distance qui peut être exploitée via le volet de prévisualisation. Cela signifie qu'aucune interaction de l'utilisateur n'est requise : la simple ouverture d'un fichier malveillant dans le volet de prévisualisation peut déclencher une exploitation.

Pour atténuer complètement cette menace, Microsoft a publié plusieurs correctifs qui doivent tous être installés pour garantir une protection complète.

Autres vulnérabilités notables

Microsoft a également corrigé plusieurs autres failles de sécurité importantes, notamment :

CVE-2025-21194 – Un bug de contournement de fonctionnalité affectant Microsoft Surface.
CVE-2025-21377 – Une vulnérabilité d'usurpation d'identité dans le hachage NTLM, qui pourrait permettre à un attaquant de voler le hachage NTLMv2 d'un utilisateur et de s'authentifier en tant que cet utilisateur.

L'absence de CIO chez Microsoft laisse les défenseurs dans l'ignorance

Malgré la gravité de ces vulnérabilités, Microsoft n'a pas fourni d'indicateurs de compromission (IOC) ni de données de télémétrie pour aider les équipes de sécurité à détecter une exploitation active. Ce manque de transparence rend plus difficile pour les défenseurs de déterminer s'ils ont été compromis.

Ce que vous devez faire maintenant

Appliquez immédiatement tous les correctifs disponibles. Les attaquants exploitent déjà certaines de ces failles, ce qui rend les mises à jour rapides essentielles.
Surveillez l'activité réseau pour détecter tout trafic LDAP suspect. La vulnérabilité LDAP de type ver pourrait être utilisée pour des attaques à grande échelle.
Désactivez le volet d'aperçu dans Microsoft Excel. Cette simple étape peut contribuer à atténuer le risque d'attaques sans clic.
Utilisez des outils de protection des terminaux et de surveillance de la sécurité pour détecter l’escalade des privilèges ou les suppressions de fichiers non autorisées.

Avec la sophistication croissante des cybermenaces, il est plus important que jamais de rester au courant des mises à jour du Patch Tuesday. Retarder ces correctifs pourrait rendre votre système vulnérable aux exploits dangereux, à la perte de données et aux attaques potentielles de ransomware.

Les utilisateurs de Microsoft doivent agir maintenant, avant que les attaquants ne frappent.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région