Microsoft corrige 8 vulnérabilités Zero-Day dans le Patch Tuesday de janvier 2025

Microsoft a récemment publié sa mise à jour cumulative du Patch Tuesday de janvier 2025, qui comprenait des mises à jour de sécurité pour 159 failles à travers Windows OS, Microsoft Office, .NET, Azure, Kerberos et Windows Hyper-V.

Celles-ci incluaient huit vulnérabilités zero-day, dont trois sont sous exploitation active et cinq sont des failles connues publiquement.

“Parmi les correctifs publiés aujourd’hui, 11 sont classés Critiques, et les 148 autres sont classés Importants en termes de gravité. C’est le plus grand nombre de CVE traités en un seul mois depuis au moins 2017 et c’est plus du double du nombre habituel de CVE corrigés en janvier,” ont écrit les chercheurs du programme Zero Day Initiative (ZDI) de Trend Micro dans une analyse.

Les trois vulnérabilités zero-day sous exploitation active dans la nature sont suivies comme CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335.

Ce sont des vulnérabilités d’élévation de privilèges (EoP) dans le fournisseur de services de virtualisation d’intégration du noyau NT de Windows Hyper-V, avec un score CVSS de 7.8 (important).

Selon Microsoft, l’exploitation réussie de la vulnérabilité pourrait permettre à un utilisateur authentifié d’exécuter du code avec des privilèges SYSTEM.

Comme d’habitude, le géant de Redmond n’a fourni aucune information sur la manière dont ces failles sont exploitées, les attaquants impliqués ou l’ampleur des attaques.

L’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a ajouté ces failles à son catalogue de vulnérabilités connues exploitées (KEV), obligeant les agences fédérales à mettre en œuvre des correctifs d’ici le 4 février 2025.

De plus, examinons les cinq zero-days divulgués publiquement qui n’ont pas été exploités par les attaquants et qui ont été corrigés dans la mise à jour cumulative du Patch Tuesday de janvier 2025 :

CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395 : Ces trois vulnérabilités, chacune notée 7.8 sur l’échelle CVSS (importante), sont des failles d’exécution de code à distance (RCE) dans Microsoft Access qui sont déclenchées lors de l’ouverture de documents Access malicieusement conçus.

L’entreprise a corrigé ces vulnérabilités en bloquant l’accès aux extensions suivantes :

• accdb
• accde
• accdw
• accdt
• accda
• accdr
• accdu

Microsoft a crédité Unpatched.ai, une plateforme de chasse aux vulnérabilités assistée par IA, pour avoir trouvé les trois problèmes de Microsoft Access.

Les deux autres zero-days divulgués publiquement et non exploités sont CVE-2025-21275 (CVSS : 7.8) dans l’installateur de packages d’applications Windows et CVE-2025-21308 (CVSS : 6.5) dans les thèmes Windows qui ont été corrigés dans le Patch Tuesday de janvier 2025.

Dans le cas de la faille CVE-2025-21275, elle pourrait permettre à un attaquant d’obtenir des privilèges SYSTEM si elle est exploitée avec succès. D’autre part, la vulnérabilité CVE-2025-21308 peut être exploitée simplement en prévisualisant un fichier de thème malveillant dans l’Explorateur Windows.

“Un attaquant devrait convaincre l’utilisateur de charger un fichier malveillant sur un système vulnérable, généralement par le biais d’une incitation dans un e-mail ou un message de messagerie instantanée, puis convaincre l’utilisateur de manipuler le fichier spécialement conçu, mais pas nécessairement de cliquer ou d’ouvrir le fichier malveillant,” explique l’avis de Microsoft concernant CVE-2025-21308.

En plus des huit vulnérabilités zero-day ci-dessus, l’entreprise a également corrigé les failles critiques suivantes :

• CVE-2025-21178 (score CVSS : 8.8) – Vulnérabilité d’exécution de code à distance de Visual Studio
• CVE-2025-21294 (score CVSS : 8.1) – Vulnérabilité d’exécution de code à distance de l’authentification Digest de Microsoft
• CVE-2025-21295 (score CVSS : 8.1) – Vulnérabilité d’exécution de code à distance du mécanisme de sécurité de négociation étendue SPNEGO (NEGOEX)
• CVE-2025-21296 (score CVSS : 7.5) – Vulnérabilité d’exécution de code à distance de BranchCache
• CVE-2025-21297 (score CVSS : 8.1) – Vulnérabilité d’exécution de code à distance des services de bureau à distance Windows
• CVE-2025-21298 (score CVSS : 9.8) – Vulnérabilité d’exécution de code à distance de l’Object Linking and Embedding (OLE) de Windows
• CVE-2025-21307 (score CVSS : 9.8) – Vulnérabilité d’exécution de code à distance du pilote de transport multicast fiable Windows (RMCAST)
• CVE-2025-21309 (score CVSS : 8.1) – Vulnérabilité d’exécution de code à distance des services de bureau à distance Windows
• CVE-2025-21311 (score CVSS : 9.8) – Vulnérabilité d’élévation de privilèges NTLM V1 de Windows
• CVE-2025-21380 (score CVSS : 8.8) – Vulnérabilité de divulgation d’informations des ressources SaaS du marché Azure
• CVE-2025-21385 (score CVSS : 8.8) – Vulnérabilité de divulgation d’informations de Microsoft Purview

Pour des informations détaillées sur les 159 vulnérabilités, vous pouvez cliquer ici.

Il est recommandé d’appliquer les dernières mises à jour de sécurité pour assurer la protection contre ces vulnérabilités.