Analyse Patch Tuesday Mai 2025

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci.

En résumé, pour mai, sept vulnérabilités de type zero-day, dont cinq exploitées activement, et deux divulguées publiquement avant que des correctifs ne soient disponibles. Quatre de ces sept zero-days sont des failles d’élévation de privilèges notoires, utilisées dans le cadre d’activités post-compromission, deux sont des failles d’exécution de code à distance, et la dernière une faille de falsification.

Vulnérabilité CVE-2025-30397

La vulnérabilité CVE-2025-30397, une erreur de corruption de mémoire dans le moteur de script, nécessite que la cible potentielle utilise Microsoft Edge en mode Internet Explorer pour que l’exploitation réussisse, une exigence difficile à satisfaire étant donné qu’Edge détient 5 % de part de marché. Le mode Internet Explorer est utilisé pour offrir une compatibilité avec les anciennes versions à certaines organisations.

En outre, une authentification côté client est requise et la cible potentielle doit cliquer sur un lien spécialement conçu par l’attaquant. Bien qu’une exploitation active ait été observée, il est peu probable que cette faille soit largement exploitée en raison du nombre élevé de conditions préalables. Peu de failles dans le moteur de script ont été signalées au cours des trois dernières années.

Cependant, en août 2024, une autre vulnérabilité zero-day de corruption de mémoire dans le moteur de script, CVE-2024-38178, a été signalée comme exploitée activement par des chercheurs ainsi que par le National Cyber Security Center (NCSC) de la République de Corée. Il n’est pas clair s’il existe un lien avec des attaques ultérieures.

CVE-2025-30400, faille d’élévation de privilèges

CVE-2025-30400 est l’une des quatre failles d’élévation de privilèges corrigées ce mois-ci.Elle se trouve dans la bibliothèque principale Desktop Window Manager (DWM) de Windows. Depuis 2022, le Patch Tuesday a corrigé 26 vulnérabilités d’élévation de privilèges dans DWM.

En fait, la mise à jour d’avril 2025 comprenait des correctifs pour cinq vulnérabilités d’élévation de privilèges dans la bibliothèque principale de DWM. Avant CVE-2025-30400, seules deux failles d’élévation de privilèges dans DWM avaient été exploitées comme zero-days : CVE-2024-30051 en 2024 et CVE-2023-36033 en 2023.

CVE-2025-32701 et CVE-2025-32706, failles d’élévation de privilèges dans le pilote CLFS de Windows

CVE-2025-32701 et CVE-2025-32706 sont deux des failles d’élévation de privilèges dans le pilote CLFS (Common Log File System) de Windows.

C’est le deuxième mois consécutif qu’une faille d’élévation de privilèges dans CLFS est exploitée activement comme zero-day. CVE-2025-29824, qui a été corrigée en avril 2025, a été exploitée par un acteur malveillant connu sous le nom de Storm-2460, qui a utilisé le malware PipeMagic pour déployer un ransomware dans des environnements compromis.

Bien que nous ne connaissions pas les méthodes d’exploitation exactes utilisées dans la nature pour CVE-2025-32701 et CVE-2025-32706, il est certain qu’elles faisaient partie d’activités post-compromission, relevant soit de l’espionnage ciblé, soit d’activités à motivation financière, telles que le déploiement de ransomwares. 

Depuis 2022, on recense 33 failles dans le pilote CLFS, dont 28 étaient des vulnérabilités d’élévation de privilèges. Six de ces vulnérabilités ont été exploitées activement comme zero-days (CVE-2022-37969, CVE-2023-23376, CVE-2023-28252, CVE-2024-49138, CVE-2025-29824).

CVE-2025-32709, faille d’élévation de privilèges dans afd.sys

CVE-2025-32709 est une faille d’élévation de privilèges dans afd.sys, le pilote Windows Ancillary Function Driver qui interagit avec l’API Windows Sockets (ou WinSock) pour permettre aux applications Windows de se connecter à Internet. Depuis 2022, le Patch Tuesday a traité 10 failles d’élévation de privilèges dans afd.sys.

La dernière vulnérabilité de ce type avait été divulguée dans la mise à jour Patch Tuesday de février 2025, et elle avait également été exploitée comme zero-day. Comme pour les autres failles d’élévation de privilèges divulguées, celles-ci sont généralement utilisées dans le cadre d’activités post-compromission.

Dossiers complémentaires sur le sujet avec les experts du site iTPro.fr

Microsoft Patch Tuesday Mai 2024

Microsoft Patch Tuesday Juin 2024

Microsoft Patch Tuesday Septembre 2024

Microsoft Patch Tuesday Mars 2025