Patch Tuesday de juin 2025 : Microsoft corrige une faille zero-day activement exploitée et 66 vulnérabilités

Vue d’ensemble des correctifs

Ce mardi 10 juin 2025, Microsoft a publié sa mise à jour mensuelle Patch Tuesday, corrigeant 66 vulnérabilités de sécurité, dont :

• 10 failles critiques, incluant 8 exécutions de code à distance (RCE) et 2 élévations de privilèges (EoP)

• Autres types de vulnérabilités :

  • 13 élévations de privilèges

  • 3 contournements de mécanismes de sécurité

  • 25 exécutions de code à distance

  • 17 divulgations d’informations

  • 6 dénis de service

  • 2 usurpations d’identité

Ces correctifs concernent principalement les produits Windows et n’incluent pas les mises à jour publiées plus tôt pour Microsoft Edge, Power Automate et Mariner.

 Vulnérabilités Zero-Day

CVE-2025-33053 – RCE via WebDAV (activement exploitée)

• Gravité : Élevée

• Description : Cette vulnérabilité permet l’exécution de code à distance via le service WebDAV en incitant l’utilisateur à interagir avec une URL malveillante.

• Exploitation : Confirmée dans des attaques ciblées, notamment par le groupe APTMenace avancée et persistante visant un système spécifique sur le long terme. Attaque de SolarWinds par un État-nation. MITRE “Stealth Falcon” contre une entreprise de défense turque.

• Crédits : Alexandra Gofman et David Driker (Check Point Research)

CVE-2025-33073 – Élévation de privilèges via le client SMB (divulguée publiquement)

• Gravité : Importante

• Description : Permet à un attaquant distant de forcer un client Windows à s’authentifier sur un serveur malveillant, permettant une élévation de privilèges jusqu’à SYSTEM.

• Exploitation : Aucune exploitation active détectée, mais le code de preuve est public.

• Mesure préventive : Activer la signature SMB obligatoire via les stratégies de groupe.

• Crédits : DFN-CERT, RedTeam Pentesting, CrowdStrike, Synacktiv, SySS et Google Project Zero.

 Mises à jour de sécurité chez d’autres éditeurs – Juin 2025

Microsoft n’est pas le seul à publier des correctifs importants ce mois-ci. Voici un aperçu des autres acteurs majeurs ayant publié des mises à jour critiques :

• Adobe : Correctifs pour InCopy, Acrobat Reader, Experience Manager, etc.

• Cisco : Trois vulnérabilités avec des exploits publics disponibles

• Fortinet : Failles d’injection de commande sur FortiManager & FortiAnalyzer

• Google : Corrections Android et Chrome, incluant une faille zero-day

• HPE : 8 correctifs pour StoreOnce

• Ivanti : Vulnérabilité dans les contrôles matériels

• Qualcomm : Trois failles zero-day exploitées dans les pilotes GPU Adreno

• Roundcube : RCE critique avec exploit public

• SAP : Correctifs de sécurité pour diverses applications internes

 Recommandations immédiates

Pour renforcer votre posture de sécurité :

1. Déployez les mises à jour Microsoft dès que possible, en priorité celles concernant les failles CVE-2025-33053 (WebDAV) et CVE-2025-33073 (SMB).

2. Activez la signature SMB via les GPO pour bloquer les attaques potentielles.

3. Vérifiez les composants tiers et mettez à jour Adobe, Cisco, Fortinet, etc.

4. Surveillez l’activité réseau à la recherche d’indicateurs d’exploitation active.

 Pourquoi cette mise à jour est critique

Les failles corrigées dans ce Patch Tuesday incluent des vulnérabilités déjà exploitées dans des cyberattaques réelles. Ne pas appliquer ces correctifs expose votre entreprise à des compromissions sévères, notamment via des attaques ciblées ou des ransomwares.

 Aperçu des composants Microsoft concernés

(Liste complète disponible dans le bulletin de sécurité officiel de Microsoft)

En résumé

• 66 failles corrigées dont 1 activement exploitée et 1 zero-day public

•  Risques critiques liés à WebDAV et au protocole SMB

•  Correctifs disponibles pour Windows 10, 11, Server 2016+, Microsoft Office, etc.

•  Ne pas oublier les mises à jour tierces : Adobe, Fortinet, Cisco, etc.