Plus de 120 failles et une 0-day : Microsoft diffuse un gros Patch Tuesday

Publié le 09 avril 2025 à 10:10 par Jérôme G.

Lire sur mobile

Microsoft publie une série de correctifs pour plus de 120 vulnérabilités de sécurité, dont une faille 0-day déjà utilisée dans des attaques ciblées par un groupe de ransomware.

Le Patch Tuesday du mois d'avril est copieux pour Microsoft avec la correction de plus de 120 vulnérabilités de sécurité.

La société de cybersécurité Tenable souligne une forte concentration de failles de type élévation de privilèges qui représentent plus de 40 % de l'ensemble des vulnérabilités corrigées, tandis que les failles de type exécution de code à distance sont une dizaine.

Le niveau de dangerosité critique est attribué à une dizaine de vulnérabilités. Ce n'est pas le cas pour la vulnérabilité CVE-2025-29824 qui est la seule vulnérabilité 0-day exploitée activement. De type élévation de privilèges, elle affecte le pilote Windows Common Log File System (CLFS).

Malware PipeMagic et ransomware RansomEXX

Microsoft indique avoir découvert une exploitation après une compromission initiale des systèmes et pour un petit nombre de cibles dans divers secteurs : entreprises des technologies de l'information et de l'immobilier aux États-Unis, secteur financier au Venezuela, une société espagnole de logiciels, vente au détail en Arabie saoudite.

Une autre trouvaille de Microsoft est que l'exploit a été déployé par le malware PipeMagic. La campagne d'attaque est attribuée au groupe Storm-2460 qui est connu pour utiliser PipeMagic afin de déployer des ransomwares. En particulier, il est fait mention du ransomware RansomEXX.

Même si la vulnérabilité CVE 2025-29824 y est présente, Microsoft souligne que la version 24H2 de Windows n'a pas été touchée par l'exploitation active. Par ailleurs, la publication du correctif pour Windows 10 est étrangement retardée et interviendra « dès que possible ».

Des failles dans les services Windows Remote Desktop

Au-delà du cas de la faille 0-day, Tenable attire l'attention sur la correction de trois vulnérabilités d'exécution de code à distance dans les services Bureau à distance de Windows : CVE-2025-26671, CVE-2025-27480 et CVE-2025-27482.

CVE-2025-27480 et CVE-2025-27482 sont critiques et peuvent être exploitées sans dépendre de l'interaction de l'utilisateur. Pour cela, un attaquant doit se connecter à un système vulnérable avec le rôle de Remote Desktop Gateway.