Microsoft a publié une mise à jour de sécurité radicale concernant 67 vulnérabilités dans son écosystème logiciel. Cela comprend un élément critique vulnérabilité du jour zéro dans la création et la gestion de versions distribuées sur le Web (WebDAV) qui est actuellement exploité dans des attaques réelles.
Répartition du mois de juin 2025 Mise à jour du Patch Tuesday
Le mois de juin 2025 mettre à jour catégorise 11 vulnérabilités comme critiques et 56 aussi important. Parmi les problèmes corrigés figurent:
- 26 Exécution de code à distance (RCE) défauts
- 17 Bugs de divulgation d'informations
- 14 Vulnérabilités d'escalade de privilèges
En plus de ceux-ci, Microsoft a résolu 13 problèmes de sécurité dans son navigateur Edge basé sur Chromium depuis le dernier Patch Tuesday.
Exploitation zero-day: CVE-2025-33053 dans WebDAV
L'une des menaces les plus importantes corrigées ce mois-ci est une faille d'exécution de code à distance dans WebDAV, suivi comme CVE-2025-33053 avec un score CVSS de 8.8. La faille peut être exploitée en incitant les utilisateurs à cliquer sur une URL spécialement conçue., qui déclenche l'exécution de logiciels malveillants via un serveur distant.
Ce jour zéro, le premier jamais signalé dans le protocole WebDAV, a été découvert par les chercheurs de Check Point Alexandra Gofman et David Driker. Selon Check Point, la faille permet aux attaquants de manipuler le répertoire de travail pour exécuter du code à distance.
Campagne ciblée de Stealth Falcon
Des chercheurs en cybersécurité ont attribué l'exploitation du CVE-2025-33053 à Stealth Falcon, également connu sous le nom de FruityArmor, un acteur de menace connu pour Exploiter les zero-days de Windows. Lors d'une récente attaque visant un sous-traitant turc du secteur de la défense, Stealth Falcon a déployé un fichier de raccourci malveillant dans un e-mail de phishing, qui a lancé une chaîne de diffusion de logiciels malveillants sophistiquée.
L'attaque a commencé par un .URL fichier exploitant la faille WebDAV pour exécuter `iediagcmd.exe`, un outil de diagnostic Internet Explorer légitime. Cet outil a ensuite été lancé Chargeur Horus, qui a servi de document PDF leurre lors du chargement Agent Horus, un implant personnalisé construit à l'aide du cadre de commande et de contrôle Mythic.
Écrit en C++, Horus Agent est une évolution de l'implant précédent du groupe, *Apollon*, et intègre des améliorations furtives telles que le cryptage des chaînes et l'aplatissement du flux de contrôle. Il se connecte à un serveur distant pour récupérer des commandes telles que l'énumération du système, accès aux fichiers, et injection de shellcode.
Nouveaux outils dans l'arsenal des acteurs de la menace
L'analyse de Check Point a également identifié des outils non documentés utilisés dans la campagne., Y compris:
- Videur d'identifiants, qui extrait les informations d'identification des contrôleurs de domaine compromis
- Porte dérobée passive, qui écoute les requêtes C2 entrantes et exécute le shellcode
- Keylogger, qui est construit sur mesure en C++ pour enregistrer les frappes au clavier dans un fichier temporaire, manque de capacité C2 directe
Ces outils sont protégés par un logiciel d'obfuscation commercial et personnalisés pour éviter la rétro-ingénierie.
Réponse de la CISA et préoccupations du secteur
En raison de l'exploitation active de CVE-2025-33053, les Etats Unis. Agence de la cybersécurité et de la sécurité des infrastructures (CISA) l'a ajouté à ses vulnérabilités connues exploitées (KEV) catalogue, obligeant les agences fédérales à corriger la faille d'ici juillet 1, 2025.
Mike Walters, Président d'Action1, a souligné que la faille est particulièrement dangereuse en raison de l'utilisation généralisée de WebDAV dans les environnements d'entreprise pour le partage de fichiers et la collaboration, souvent sans une compréhension complète des implications en matière de sécurité.
Autres vulnérabilités à fort impact
Parmi les problèmes les plus critiques résolus figure une faille d'escalade de privilèges dans Microsoft Power Automate. (CVE-2025-47966), qui a marqué 9.8 à l'échelle CVSS. Microsoft a confirmé qu'aucune action de l'utilisateur n'est nécessaire pour ce correctif.
D’autres vulnérabilités notables incluent:
- CVE-2025-32713 – Élévation de privilèges dans le pilote du système de fichiers journaux communs
- CVE-2025-33070 – Élévation des privilèges dans Windows Netlogon
- CVE-2025-33073 – Une vulnérabilité connue du public dans le client SMB Windows, dont les chercheurs ont révélé qu'il s'agissait en fait d'un RCE authentifié via une attaque relais Kerberos réfléchissante
Le chercheur en sécurité Ben McCarthy a noté que la vulnérabilité CLFS est un débordement de tas de faible complexité qui a attiré l'attention des acteurs du ransomware ces derniers mois..
En attendant, CVE-2025-33073, rapporté par plusieurs équipes de recherche, dont Google Project Zero et Synacktiv, permet aux attaquants d'exécuter des commandes au niveau du SYSTÈME en exploitant une signature SMB mal configurée.
Défaut du proxy KDC et contournements du démarrage sécurisé
CVE-2025-33071, une vulnérabilité d'exécution de code à distance dans Windows KDC Proxy, implique une condition de concurrence cryptographique. Selon Adam Barnett de Rapid7, il est susceptible d'être exploitable dans des scénarios réels en raison de la nature de l'exposition du proxy KDC dans les réseaux d'entreprise.
Plus, Microsoft a corrigé une vulnérabilité de contournement du démarrage sécurisé (CVE-2025-3052), découvert par Binarly. Le problème affecte les applications UEFI signées avec le certificat UEFI tiers de Microsoft et permet à du code malveillant de s'exécuter avant le chargement du système d'exploitation..
Le CERT/CC a expliqué que la cause principale réside dans la façon dont les applications UEFI de DT Research gèrent les variables NVRAM. Un contrôle d'accès inapproprié permet à un attaquant de modifier les structures critiques du micrologiciel, permettre la persistance et la compromission du système au niveau du micrologiciel.
Hydroph0bia: Un autre contournement de démarrage sécurisé non corrigé par Microsoft
Bien que cela n'affecte pas directement Microsoft, un autre contournement du démarrage sécurisé (CVE-2025-4275), surnommé Hydroph0bia, a également été divulgué. Cette vulnérabilité provient de l'utilisation non sécurisée d'une variable NVRAM non protégée dans le micrologiciel InsydeH2O, permettant aux attaquants d'injecter leurs propres certificats numériques de confiance et d'exécuter un micrologiciel arbitraire lors du démarrage précoce.
Inutile de dire, les organisations sont invitées à donner la priorité aux vulnérabilités récemment corrigées, en particulier ceux qui sont activement exploités comme CVE-2025-33053.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: