Dans sa livraison mensuelle de correctifs de sécurité, Microsoft a colmaté pas moins de 66 failles. Parmi elles, deux vulnérabilités sont de type zero day et requiert donc une attention particulière de la part des administrateurs systèmes.
Les mois se suivent et se ressemblent presque pour les Patch Tuesday de Microsoft. Après un mois de mai référençant 70 failles, le bulletin de juin répare 66 vulnérabilités dont 10 jugées comme « critiques », 8 entraînant de l’exécution de code à distance et 2 d’élévation de privilèges. Parmi ces failles critiques, deux sont à corriger en urgence.
Deux correctifs prioritaires
La première est référencée CVE-2025-33053 et elle sert depuis mars dernier à un groupe APT nommé Stealth Falcon pour des attaques ciblant le Moyen-Orient. La brèche se trouve dans l’extension WebDAV (web distributed authoring and versioning) de partage et de collaboration de fichiers à distance pour Windows. Dotée d’un score CVSS de 8,8, la vulnérabilité a été découverte par des chercheurs de CheckPoint. Dans un rapport, l’éditeur explique que les cybercriminels « ont utilisé une technique jusqu’alors inconnue pour exécuter des fichiers hébergés sur un serveur WebDAV qu’ils contrôlaient ».
La second faille classée CVE-2025-33073 entraîne une élévation de privilèges dans le client SMB Windows, divulguée publiquement avec un PoC, mais non encore exploitée. Également classée CVSS 8.8, elle donne à un attaquant la capacité d’obtenir des privilèges système sur les terminaux vulnérables. Microsoft explique dans son avis, « pour exploiter cette vulnérabilité, un attaquant pourrait exécuter un script malveillant spécialement conçu pour contraindre la machine victime à se reconnecter au système attaqué via SMB et à s’authentifier. Cela pourrait entraîner une élévation de privilèges ». La firme de Redmond attribue la découverte de cette faille à plusieurs chercheurs, dont Keisuke Hirata de CrowdStrike, Synacktiv Research de Synacktiv, Stefan Walter de SySS et James Forshaw de Google Project Zero.
Pas de patch pour BadSuccesor
Les autres failles critiques ne sont pas à ignorer et les correctifs doivent être mis en haut de la liste des administrateurs systèmes. Quatre d’entre elles concernent la suite Office avec des scores de sévérité de 8.4. Microsoft souligne qu’une de ces vulnérabilités est « probablement exploitée ».
Mais les experts en cybersécurité regrettent l’absence de correctifs de la faille découverte par Akamai dans Windows Server 2025. Baptisée BadSuccesor, elle donne aux attaquants la capacité de compromettre n’importe quel utilisateur d’Active Directory (AD). La faille s’appuie sur la récente fonctionnalité dMSA (delegated Managed Service Account) qui facilite la migration depuis un compte de service existant. Microsoft a été averti le 1er avril dernier par Akamai, mais a jugé la faille comme modérée ne justifiant pas une intervention immédiate.