Analyse Microsoft Patch Tuesday Mars 2025

Satnam Narang, Senior Staff Research Engineer chez Tenable partage son analyse sur la mise à jour du Patch Tuesday de Microsoft de ce mois-ci.

Microsoft a publié des correctifs pour 56 vulnérabilités (CVE), dont sept zero-days, parmi lesquelles six sont activement exploitées.

Sept Zero-Days recensés

Avec sept zero-days recensés, la mise à jour de mars 2025 fait partie des plus chargées en vulnérabilités critiques, un niveau déjà atteint à deux reprises en 2024. En septembre dernier, cinq zero-days avaient été exploités dans la nature et deux autres divulgués avant l’arrivée des correctifs.

Ce mois-ci ressemble beaucoup à août 2024, où six zero-days étaient déjà exploités et un autre connu avant la mise à disposition du patch.

Six failles exploitées

Autre point marquant : les six failles exploitées activement ce mois-ci dépassent le total combiné de janvier et février 2025, qui comptait cinq zero-days.

Parmi ces vulnérabilités, CVE-2025-26633 concerne un contournement de fonctionnalité de sécurité dans la Microsoft Management Console (MMC). Pour l’exploiter, un attaquant doit convaincre sa cible (qu’elle soit simple utilisateur ou administrateur) d’ouvrir un fichier piégé. L’ingénierie sociale reste l’une des méthodes les plus efficaces pour y parvenir. Notez qu’il s’agit de la seconde faille zero-day exploitée dans MMC, après CVE-2024-43572 corrigée en octobre2024

Faille dans le pilote Windows Fast FAT File System (CVE-2025-24985)

Autre nouveauté : une faille dans le pilote Windows Fast FAT File System (CVE-2025-24985), ce qui est une première depuis trois ans. Ce zero-day, signalé anonymement, est également le premier du genre à être exploité dans la nature, cependant, on manque de détails techniques sur son exploitation.

Trois vulnérabilités affectant le système de fichiers NTFS de Windows

Microsoft a aussi corrigé trois vulnérabilités affectant le système de fichiers NTFS de Windows : deux failles de divulgation d’informations (CVE-2025-24984, CVE-2025-24991) et une exécution de code à distance (CVE-2025-24993), la plus critique des trois. Ces failles zero-day nécessitent qu’un attaquant convainque sa cible de monter un disque dur virtuel (VHD) spécialement conçu. Une fois exploitées, elles permettent d’exécuter du code arbitraire ou d’accéder à des informations sensibles en mémoire.

Fait notable, une seule élévation de privilèges figure parmi les zero-days corrigés ce mois-ci. CVE-2025-24983, qui affecte le sous-système Windows Win32 Kernel, pourrait permettre à un attaquant ayant déjà un accès initial au système (via une faille ou du phishing) d’obtenir les privilèges SYSTEM. Toutefois, son exploitation semble plus complexe que d’habitude, car elle repose sur l’exploitation d’une « race condition ». »

Analyse des précédents Microsoft Patch Tuesday avec les experts iTPro.fr

Mai 2024 – Microsoft Patch Tuesday Mai 2024

Juin 2024 – Microsoft Patch Tuesday Juin 2024

Septembre 2024 – Microsoft Patch Tuesday Septembre 2024