Des failles de sécurité critiques sont actuellement exploitées dans les systèmes Windows du monde entier. Microsoft a publié un correctif de sécurité massif avec 183 vulnérabilités corrigées, dont deux failles zero-day activement exploitées. Cela intervient alors que la fin du support pour Windows 10 devient officielle, sauf en cas d’inscription au programme Extended Security Updates (ESU). Ces vulnérabilités menacent tous les systèmes Windows, y compris les plus récents, exposant les entreprises à un risque élevé de piratage, d’élévation de privilèges et d’exécution de code malveillant. Découvrez les détails techniques et comment protéger votre parc informatique.
Deux failles critiques de type zero-day activement exploitées sur Windows
CVE-2025-24990 : une menace silencieuse dans tous les systèmes Windows
La première faille zero-day, référencée CVE-2025-24990, concerne un vulnérable pilote modem Agere (« ltmdm64.sys »). Elle obtient un score CVSS de 7.8 et permet l’élévation de privilèges. Ce pilote, issu d’un composant tiers hérité, est présent sur toutes les versions de Windows, y compris Windows Server 2025, même si le matériel n’est pas utilisé.
Microsoft prévoit de supprimer entièrement ce pilote plutôt que de le corriger. Cette décision renforce le constat : le code hérité représente une porte d’entrée fréquente pour les cyberattaques. L’attaque nécessite un accès local, mais permet à un compte limité d’obtenir les droits administrateur, facilitant la prise de contrôle du système.
CVE-2025-59230 : première exploitation d’une faille sur Remote Access Connection Manager
La seconde vulnérabilité, CVE-2025-59230, touche le module Remote Access Connection Manager (RasMan). Également exploitée activement, elle obtient un score CVSS de 7.8. C’est la première fois qu’un bug dans RasMan est exploité en tant que zero-day malgré plus de 20 correctifs depuis 2022.
Cette faille permet elle aussi une élévation de privilèges, augmentant le risque de compromission réseau dans les environnements distants ou VPN.
Une faille de contournement de Secure Boot sur IGEL OS
CVE-2025-47827 : attaque physique ciblée sur l’environnement IGEL
Une troisième vulnérabilité exploitée activement, CVE-2025-47827, concerne un contournement de Secure Boot dans IGEL OS (versions inférieures à 11). Elle affiche un score CVSS plus modéré de 4.6, mais sa capacité à permettre le déploiement d’un rootkit au niveau du noyau en fait une menace redoutable dans les contextes professionnels.
L’exploitation requiert un accès physique, typique des attaques dites « evil maid« , particulièrement ciblées sur les employés en déplacement avec leurs appareils. Une fois le système compromis, l’attaquant peut manipuler les bureaux virtuels et collecter des identifiants sensibles.
Autres vulnérabilités critiques dévoilées
Bogue RCE dans WSUS (CVE-2025-59287)
Le correctif traite également une faille critique d’exécution de code à distance (RCE) dans Windows Server Update Services, notée CVE-2025-59287 avec un score de 9.8. Cette vulnérabilité peut être exploitée via un paquet malveillant envoyé au service, pouvant compromettre l’ensemble d’un réseau d’entreprise via un serveur WSUS infecté.
RCE via parsing d’URL sur Windows (CVE-2025-59295)
Une autre faiblesse notable, CVE-2025-59295 (CVSS 8.8), réside dans le module d’analyse des URLs de Windows. En créant une URL malicieusement construite, un attaquant peut provoquer un dépassement de mémoire et exécuter du code arbitraire.
L’exploitation repose sur la corruption de pointeurs de fonctions, ce qui permet l’injection de code malveillant et pourrait être automatisée pour toucher un grand nombre de machines. C’est justement le genre d’exploitation détaillée dans notre livre pour apprendre à hacker, un guide destiné à comprendre ces vecteurs d’attaque et à s’y préparer techniquement.
Faille dans Microsoft Graphics et ASP.NET (CVSS 9.9)
Deux failles supplémentaires atteignent un score CVSS quasi-maximal de 9.9 :
- CVE-2025-49708 : faille d’élévation de privilèges dans Microsoft Graphics Component, exploitable pour s’échapper d’une machine virtuelle et exécuter du code au niveau système sur l’hôte.
- CVE-2025-55315 : contournement de sécurité dans ASP.NET via une requête HTTP malicieuse smuggled, capable de passer outre les contrôles classiques en environnement authentifié.
Ces deux vecteurs constituent des menaces sérieuses pour l’infrastructure cloud et les environnements virtualisés.
Les agences gouvernementales contraintes de corriger avant le 4 novembre
Suite à leur exploitation avérée, les trois failles principales ont été intégrées dans le catalogue KEV de la CISA (Cybersecurity and Infrastructure Security Agency). Les agences fédérales américaines doivent appliquer les correctifs avant le 4 novembre 2025, ce qui souligne leur criticité.
Les mises à jour de sécurité ne se limitent pas à Microsoft
Nombreux sont les éditeurs à avoir publié des correctifs de sécurité critiques ces dernières semaines, parmi lesquels Adobe, Apple, Cisco, Fortinet, HP, Lenovo, Mozilla, NVIDIA, Oracle, Samsung et VMware. Les environnements Linux, notamment Ubuntu, Red Hat, Debian et Arch Linux, ont également reçu des correctifs pour des vulnérabilités actives.
Cette multiplication des patchs souligne la nécessité pour les entreprises de mettre à jour rigoureusement tous leurs logiciels, quel que soit l’éditeur ou la plateforme.
Pour garantir la cybersécurité de vos équipements et vous prémunir contre les failles zero-day, CyberCare propose des services de gestion des vulnérabilités, de supervision SI et de formation offensive à la cybersécurité.
