Microsoft vient de corriger deux vulnérabilités de sécurité critiques touchant ses services cloud Azure AI Face Service et Microsoft Account. Ces failles, notées CVSS 9.9 et 7.5 respectivement, pourraient permettre à des attaquants malveillants d’escalader leurs privilèges, mettant en danger les systèmes et les données sensibles des utilisateurs. Si vous utilisez ces services, cet article vous informe sur ces failles et les mesures prises par Microsoft pour les corriger.
Des vulnérabilités critiques dans Azure AI Face Service et Microsoft Account
CVE-2025-21415 : une faille dans Azure AI Face Service
Microsoft a annoncé la découverte d’une vulnérabilité critique, identifiée comme CVE-2025-21415, touchant Azure AI Face Service. Cette faille, avec un score CVSS de 9.9, pourrait permettre à un attaquant autorisé de contourner l’authentification grâce à un mécanisme de spoofing, lui donnant ainsi la possibilité d’élever ses privilèges à distance sur le réseau. Un chercheur anonyme a signalé cette faille, rendant possible une meilleure sécurisation des infrastructures cloud exposées.
CVE-2025-21396 : un défaut d’autorisation dans Microsoft Account
Un second problème de sécurité, répertorié sous le nom CVE-2025-21396, a également été divulgué. Il provient d’une absence d’autorisation, pouvant permettre à un attaquant non autorisé de s’introduire dans le système pour obtenir un accès privilégié à distance. Ce défaut, noté 7.5 sur l’échelle CVSS, a été découvert par un chercheur en cybersécurité reconnu sous le pseudonyme Sugobet.
Les mesures de Microsoft pour protéger ses utilisateurs
Un correctif et une atténuation complète des risques
Microsoft a publié des correctifs pour ces deux failles, garantissant ainsi que les vulnérabilités sont totalement mitigées. La société a également précisé qu’aucune action spécifique n’est requise de la part des clients, les correctifs ayant été intégrés directement dans ses services cloud. La présence d’un code de preuve de concept (PoC) pour CVE-2025-21415 avait en effet rendu la correction de cette faille particulièrement prioritaire.
Une transparence renforcée dans la gestion des failles cloud
Dans un effort pour garantir une transparence accrue, Microsoft s’engage désormais à émettre des CVEs pour toutes les vulnérabilités majeures affectant ses services cloud, même lorsque les utilisateurs n’ont pas besoin d’intervenir. Cette initiative vise à renforcer la confiance envers les services cloud en dévoilant systématiquement les problèmes de sécurité et les solutions associées.
Dans une déclaration de juin 2024, Microsoft a réaffirmé son engagement envers la sécurité en soulignant que la collaboration entre les entreprises et les chercheurs en cybersécurité favorise non seulement l’amélioration des infrastructures cloud, mais renforce également la résilience globale face aux menaces.
Chez CyberCare, nous proposons des audits de sécurité adaptés aux environnements cloud afin de prévenir ce genre de menaces et garantir un haut niveau de protection pour vos activités numériques.