PG Software - Votre distributeur IT

Blog

Catégories du blog

Patch Tuesday de mai 2025 : 78 vulnérabilités corrigées, dont 7 zero-days

Détails
Catégorie parente: Solutions ManageEngine
Desktop

Mai est synonyme de clarté et de nouveaux départs — et cela inclut votre environnement informatique. Alors que nous célébrons le Mois de la sensibilisation à la santé mentale, il n'y a pas de meilleur moment pour réduire le stress lié à la sécurité en restant en avance sur les menaces. Le Patch Tuesday de ce mois-ci apporte des correctifs pour 78 vulnérabilités, dont 7 zero-days et 6 vulnérabilités critiques, vous aidant à sécuriser vos systèmes et à assurer le bon fonctionnement de vos opérations.

Découvrons les nouveautés de ce cinquième Patch Tuesday de l'année. Vous pouvez également vous inscrire à notre webinaire gratuit sur le Patch Tuesday et écouter nos experts détailler les mises à jour.

Résumé des mises à jour de sécurité de mai 2025

  • Nombre total de CVE corrigés : 78
  • Vulnérabilités zero-day : 7 (dont 5 activement exploitées)
  • Vulnérabilités critiques : 6
  • CVE republiés : 5 (voir les notes de publication du MSRC)

Fait : Ce décompte exclut les failles d'Azure, Dataverse, Mariner et Microsoft Edge qui ont été corrigées plus tôt ce mois-ci.

Produits, fonctionnalités et rôles affectés

Des mises à jour de sécurité ont été publiées pour des produits Microsoft critiques, notamment :

  • Pilote Windows Common Log File System
  • Microsoft Office
  • Microsoft .NET
  • Microsoft Visual Studio
  • Microsoft Windows

Pour consulter la liste complète des produits, fonctionnalités et rôles affectés, veuillez vous référer aux notes de publication du MSRC.

Fait amusant : Cela pourrait marquer le premier Patch Tuesday où le pilote Common Log File System se distingue comme le composant le plus fréquemment exploité.

Répartition des vulnérabilités

Voici comment les vulnérabilités de ce mois sont réparties :

  • 28 Exécutions de code à distance (RCE) : Les attaquants peuvent exécuter leur code sur vos systèmes à distance. Comme de la magie noire, mais avec du JavaScript.
  • 17 Élévations de privilèges (EoP) : Donne aux attaquants un accès de haut niveau. En gros, ils deviennent le patron.
  • 15 Divulgations d'informations : Fuites d'informations sensibles. Vos secrets ne sont pas encore en sécurité.
  • 7 Déni de service (DoS) : Transforme les services en non-services. Induit des siestes système instantanées.
  • 2 Contournements de fonctionnalités de sécurité (SFB) : Comme trouver une entrée VIP autour de votre meilleure sécurité.
  • 2 Usurpations : Lorsque les attaquants prétendent être quelqu'un en qui vous avez confiance. Comme le phishing, mais plus sournois.

En résumé ? L'exécution de code à distance (RCE) est en tête ce mois-ci également ; elles sont la principale préoccupation dans les mises à jour de sécurité.

Détails des vulnérabilités zero-day

  • CVE-2025-30400
  • Composant vulnérable : Bibliothèque principale DWM de Microsoft
  • Impact : Élévation de privilèges (EoP)
  • Score CVSS 3.1 : 7.8
  • Exploitation active ? Oui

Cette vulnérabilité affecte le Gestionnaire de fenêtres du bureau (DWM), un composant Windows crucial responsable du rendu des effets visuels. En exploitant un bug de type "use-after-free", des attaquants avec un accès limité pourraient potentiellement obtenir des privilèges SYSTEM localement. C'est comme prêter vos clés de maison et découvrir qu'ils ont pris possession des lieux. Microsoft attribue la découverte de cette faille à son Centre de renseignement sur les menaces et confirme qu'elle a déjà été exploitée dans la nature.

  • CVE-2025-32701
  • Composant vulnérable : Pilote Windows Common Log File System
  • Impact : Élévation de privilèges (EoP)
  • Score CVSS 3.1 : 7.8
  • Exploitation active ? Oui

Cette vulnérabilité exploite le pilote Common Log File System via une faille de type "use-after-free". Un attaquant autorisé pourrait l'utiliser pour élever ses privilèges, s'accordant essentiellement un accès administrateur sur le système. C'est un problème typique d'élévation de privilèges qui a tendance à réapparaître sous différentes formes tous les quelques mois. L'équipe interne de Microsoft a identifié cette vulnérabilité comme étant activement exploitée.

  • CVE-2025-32706
  • Composant vulnérable : Pilote Windows Common Log File System
  • Impact : Élévation de privilèges (EoP)
  • Score CVSS 3.1 : 7.8
  • Exploitation active ? Oui

Cette vulnérabilité adopte une approche légèrement différente avec une validation d'entrée incorrecte au lieu de problèmes de mémoire. Mais le résultat est le même — un accès au niveau SYSTEM. Avec des contributions de Google Threat Intelligence et CrowdStrike, il s'agit clairement d'une découverte de haut niveau. Elle est activement exploitée dans la nature, et si vous ne déployez pas les correctifs maintenant, vous vous portez volontaire pour un exercice de red team (sauf que cette fois, c'est un véritable attaquant).

  • CVE-2025-32709
  • Composant vulnérable : Pilote de fonction auxiliaire Windows pour WinSock
  • Impact : Élévation de privilèges (EoP)
  • Score CVSS 3.1 : 7.8
  • Exploitation active ? Oui

Encore une faille de type "use-after-free", cette fois dans le pilote de fonction auxiliaire pour les sockets Windows (WinSock). Les attaquants peuvent exploiter cette vulnérabilité pour obtenir des privilèges élevés sur le système. Microsoft a confirmé qu'elle est activement exploitée dans la nature.

  • CVE-2025-30397
  • Composant vulnérable : Moteur de script
  • Impact : Exécution de code à distance
  • Score CVSS 3.1 : 7.5
  • Exploitation active ? Oui

Cette faille de corruption de mémoire provient d'une confusion de type dans le moteur de script, déclenchée lorsqu’un utilisateur clique sur un lien malveillant dans Edge ou Internet Explorer (oui, il existe encore). Le plus inquiétant ? L’attaquant n’a même pas besoin de s’authentifier. Il lui suffit de votre curiosité… et d’un clic. Un rappel glaçant de l’importance de corriger et de former vos utilisateurs. Cette vulnérabilité zero-day a été détectée par l’équipe de veille de Microsoft et est activement exploitée.

  • CVE-2025-26685
  • Composant vulnérable : Microsoft Defender for Identity
  • Impact : Usurpation d’identité (spoofing)
  • Score CVSS 3.1 : 6.5
  • Exploitation active ? Non

Cette vulnérabilité d’usurpation d’identité a été rendue publique et permet à des attaquants non authentifiés sur le même réseau de se faire passer pour d’autres comptes. Elle peut être exploitée sur un réseau local (LAN) en raison de mécanismes d’authentification faibles. Bien qu’elle ne soit pas encore activement exploitée, sa divulgation publique laisse penser que cela pourrait changer rapidement. Elle a été découverte par Joshua Murrell de NetSPI.

  • CVE-2025-32702
  • Composant vulnérable : Visual Studio
  • Impact : Exécution de code à distance
  • Score CVSS 3.1 : 7.8
  • Exploitation active ? Non

Cette vulnérabilité RCE dans Visual Studio provient d’une mauvaise validation des entrées de commande – autrement dit, d’une injection de commande. Si un attaquant réussit à inciter un développeur à ouvrir un projet ou un fichier malveillant, il peut exécuter du code arbitraire sur sa machine. Elle n’est pas connue pour être exploitée activement, mais compte tenu de son ampleur et de sa gravité, elle doit être corrigée en priorité, en particulier dans les environnements de développement.

Mises à jour de sécurité tierces

  • Apple a publié des mises à jour pour iOS, iPadOS et macOS, corrigeant plusieurs vulnérabilités, dont certaines touchent des composants système essentiels.
  • Cisco a corrigé une faille de gravité maximale dans IOS XE, affectant les contrôleurs LAN sans fil, avec un risque de compromission à distance.
  • Fortinet a publié des correctifs pour plusieurs produits, dont un pour une vulnérabilité zero-day activement exploitée dans FortiVoice. Ne négligez pas la sécurité de votre infrastructure VoIP.
  • Google a résolu une faille RCE zero-click activement exploitée dans FreeType 2 sur les appareils Android—preuve que "zéro clic" ne veut pas dire "zéro danger".
  • Intel a mis à jour le microcode de ses processeurs pour atténuer une nouvelle attaque spéculative appelée Branch Privilege Injection, qui permet de fuiter des données mémoire privilégiées.
  • SAP a livré plusieurs correctifs, dont un pour une vulnérabilité critique d'exécution de code à distance affectant les opérations métier centrales.
  • SonicWall a corrigé une vulnérabilité zero-day activement exploitée, rappelant que même les pare-feux doivent parfois être reforgés.

À retenir : Même si vos systèmes sont à jour côté Microsoft, ne négligez pas les logiciels tiers — ils sont tout aussi critiques !

78 vulnérabilités peuvent sembler beaucoup, et avec 7 failles zero-day — dont 5 déjà exploitées activement — la situation s’intensifie. Imaginez une cocotte-minute : mieux vaut relâcher la pression avant l’explosion. Corrigez vos systèmes dès maintenant, avant que les choses ne dégénèrent.

Bonnes pratiques pour gérer la gestion des correctifs dans un environnement de travail hybride

De nombreuses organisations ont adopté le travail à distance, même après un retour partiel au bureau. Cette évolution pose divers défis aux administrateurs IT, notamment en matière de gestion et de sécurisation des plateformes distribuées.

Voici quelques recommandations pour simplifier le processus d’application des correctifs à distance :

  • Désactiver les mises à jour automatiques, car un correctif défectueux pourrait entraîner une panne système. Les administrateurs IT peuvent informer les utilisateurs sur la manière de désactiver ces mises à jour. Patch Manager Plus et Endpoint Central proposent un correctif dédié, 105427, permettant de désactiver automatiquement les mises à jour sur les plateformes.
  • Créer un point de restauration (sauvegarde ou image capturant l’état des machines) avant de déployer des mises à jour majeures, comme celles du Patch Tuesday.
  • Établir un planning de correctifs et informer les utilisateurs finaux. Il est recommandé de définir un horaire précis pour le déploiement des correctifs et les redémarrages des systèmes. Informez les utilisateurs des actions requises de leur côté afin de garantir une mise à jour sans problème.
  • Tester les correctifs sur un groupe pilote avant le déploiement en production pour s’assurer qu’ils n’interfèrent pas avec les autres applications.
  • Permettre aux utilisateurs de reporter l’installation des correctifs et les redémarrages programmés pour éviter toute interruption de leur travail, notamment pour ceux ayant des horaires décalés en télétravail. Les solutions de gestion des correctifs offrent des options de déploiement et de redémarrage définies par l’utilisateur.
  • Optimiser la gestion des correctifs via le VPN en installant en priorité les correctifs critiques et de sécurité. Les mises à jour de fonctionnalités et cumulatives étant volumineuses, il peut être judicieux de différer leur déploiement afin de préserver la bande passante du VPN.
  • Programmer les mises à jour non critiques après le Patch Tuesday, par exemple lors de la troisième ou quatrième semaine du mois. Il est également possible de refuser certaines mises à jour si elles ne sont pas pertinentes pour votre environnement.
  • Analyser les rapports de correctifs afin d’obtenir une vue détaillée sur l’état de conformité et la sécurité des plateformes.
  • Vérifier la conformité des machines de retour au bureau après une période de télétravail. Si elles ne répondent pas aux politiques de sécurité, elles doivent être mises en quarantaine. Appliquez les dernières mises à jour et packs de fonctionnalités avant de les réintégrer dans l’environnement de production. Profitez-en pour inventorier et désinstaller les applications devenues obsolètes, comme certains outils de collaboration à distance.

Grâce à Endpoint Central, Patch Manager Plus et Vulnerability Manager Plus, l’ensemble du processus de gestion des correctifs peut être automatisé, de la phase de test jusqu’au déploiement. Vous pouvez également personnaliser les tâches de correction en fonction de vos besoins. Testez ces solutions avec un essai gratuit de 30 jours pour sécuriser et maintenir à jour des milliers d’applications.

Vous souhaitez en savoir plus sur les mises à jour Patch Tuesday ?

Participez à notre webinaire gratuit Patch Tuesday, où nos experts analyseront en détail les mises à jour de ce mois-ci et répondront à toutes vos questions.

Prêts ? À vos correctifs !