Le Patch Tuesday du mois de mai est livré par Microsoft avec au compteur la correction de 78 vulnérabilités de sécurité, dont 11 avec un niveau de dangerosité critique.
Comme souvent, l'attention est attirée du côté d'éventuelles vulnérabilités 0-day, même si un niveau de dangerosité critique ne leur est pas attribué. Cette fois-ci, elles sont au nombre de cinq, voire sept en fonction de la définition retenue.
En l'occurrence, cinq vulnérabilités ont l'objet d'une exploitation active dans des attaques alors que des correctifs n'étaient pas disponibles, tandis que deux autres vulnérabilités ont eu droit à une divulgation publique, mais sans exploit qui se balade dans la nature.
Cinq vulnérabilités 0-day activement exploitées
CVE-2025-30400, CVE-2025-32701, CVE-2025-32706 et CVE-2025-32709 sont des vulnérabilités de type élévation de privilèges.
Elles affectent la bibliothèque DWM Core (Desktop Window Manager ; gestionnaire de fenêtres) et le pilote CLFS (Common Log File System ; service de journalisation) de Windows, ainsi que le pilote Windows Ancillary Function Driver (afd.sys) qui interagit avec WinSock (connexion des applications Windows à Internet).
La société de cybersécurité Tenable souligne notamment que c'est le deuxième mois consécutif qu'une faille d'élévation de privilèges dans CLFS est exploitée activement comme zero-day.
CVE-2025-30397 n'est pas de type élévation de privilèges, mais de type exécution de code à distance. Cette faille 0-day activement exploitée touche le moteur de script Microsoft Scripting Engine. Pas de panique...
Pour une exploitation, Microsoft indique qu'un attaquant doit d'abord préparer sa cible pour qu'elle utilise le navigateur Microsoft Edge en mode Internet Explorer.
« Bien qu'une exploitation active ait été observée, il est peu probable que cette faille soit largement exploitée en raison du nombre élevé de conditions préalables », commente Tenable, en soulignant également la nécessité d'une authentification côté client et un clic sur un lien malveillant.
