Le Patch Tuesday du mois de juin est l'occasion pour Microsoft de corriger un total de 66 vulnérabilités de sécurité, dont une dizaine avec un niveau de dangerosité critique. Sur l'ensemble des failles, deux vulnérabilités sont 0-day.
La définition retenue pour une vulnérabilité 0-day est une vulnérabilité activement exploitée ou divulguée publiquement, alors qu'aucun correctif officiel n'était disponible.
Exploitation active pour CVE-2025-33053
Activement exploitée, la vulnérabilité CVE-2025-33053 a été signalée à Microsoft par Check Point Research. De type exécution de code à distance, elle affecte l'implémentation de WebDAV (Web Distributed Authoring and Versioning) dans Windows.
Cette extension du protocole HTTP permet une gestion à distance des fichiers et dossiers sur un serveur. Dans Windows, il n'y a cependant pas d'activation par défaut de WebDAV et son implémentation est frappée de dépréciation depuis novembre 2023. Quoi qu'il en soit, le correctif s'adresse à toutes les versions de Windows.
Selon Microsoft, un utilisateur doit cliquer sur une URL WebDAV spécialement conçue pour que la faille soit exploitée. Check Point Research indique qu'une campagne d'attaque est menée par le groupe APT dénommé Stealth Falcon. « L'attaque utilise un fichier .url qui exploite la vulnérabilité pour l'exécution d'un malware à partir d'un serveur WebDAV sous contrôle. »
Check Point Research souligne que les activités de Stealth Falcon se concentrent principalement au Moyen-Orient et en Afrique, avec des cibles de haut niveau dans les secteurs gouvernementaux et de la défense observées en Turquie, au Qatar, en Égypte et au Yémen.
Divulgation publique pour CVE-2025-33073
De type élévation de privilèges, la vulnérabilité CVE-2025-33073 affecte le client SMB (Server Message Block) de Windows. S'il n'y a pas d'exploitation active, ce n'est vraisemblablement qu'une question de temps, puisqu'un code de preuve de concept a été rendu public.
SMB est un protocole utilisé pour le partage de ressources sur des réseaux locaux. Il permet à des ordinateurs Windows de traiter et exécuter des fichiers sur des systèmes distants, à la manière de fichiers locaux.
« Pour exploiter la vulnérabilité, un attaquant pourrait exécuter un script malveillant spécialement conçu pour contraindre la machine victime à se reconnecter au système attaqué via SMB et à s'authentifier. Cela pourrait entraîner une élévation de privilèges », écrit Microsoft.
Une vulnérabilité 0-day non corrigée
À l'issue du Patch Tuesday de juin, plusieurs experts en cybersécurité déplorent l'absence d'un correctif pour une vulnérabilité surnommée BadSuccessor et divulguée le 21 mai par les chercheurs d'Akamai. Des preuves de concept sont disponibles.
« BadSuccessor n'affecte que les domaines Active Directory disposant d'au moins un contrôleur de domaine sur Windows Server 2025. C'est une configuration rare, que nous avons observée dans seulement 0,7 % des domaines Active Directory selon un échantillon de nos données. Microsoft prévoit de corriger cette faille, mais pas ce mois-ci. Les organisations concernées devraient revoir les permissions accordées aux identités et les restreindre autant que possible », prévient Tenable.
