Patch Tuesday – Février 2025 : 55 vulnérabilités corrigées par Microsoft, dont 4 failles zero-day

Le Patch Tuesday de février 2025 a été publié par Microsoft, dans le but de corriger un ensemble de 55 vulnérabilités, dont 4 failles zero-day qui méritent une attention particulière. Voici un récapitulatif !

Ce nouveau Patch Tuesday contient 3 fois moins de correctifs que celui du mois dernier, et c'est également le cas pour le nombre de vulnérabilités critiques. Trois failles de sécurité critiques, correspondantes à des exécutions de code à distance, ont été corrigées par les équipes de Microsoft :

• Microsoft Dynamics 365 Sales : CVE-2025-21177
• Microsoft Office - Excel : CVE-2025-21381
• Serveur DHCP de Windows Server : CVE-2025-21379

À cela s'ajoutent des vulnérabilités dans divers produits de chez Microsoft, dont la CVE-2025-21351 découverte dans l'Active Directory (ADDS). Cette faille importante permettrait un déni de service.

Patch Tuesday de février 2025 : le point sur les failles zero-day

Le Patch Tuesday de ce mois-ci corrige quatre failles de sécurité zero-day, dont deux activement exploitées et deux publiquement dévoilées. Nous allons passer en revue ces vulnérabilités.

CVE-2025-21391 - Élévation de privilèges dans Windows Storage

Commençons par évoquer la vulnérabilité CVE-2025-21391, déjà exploitée par les cybercriminels et présente dans la gestion du stockage de Windows. Elle permet à un attaquant de supprimer des fichiers sur une machine Windows. Elle est considérée comme une élévation de privilèges, mais Microsoft précise bien que c'est limité : "Un attaquant ne pourrait supprimer que des fichiers ciblés sur un système.", il n'est donc pas question de bénéficier de privilèges SYSTEM au niveau de la machine.

L'entreprise américaine apporte quelques précisions quant à la capacité à déclencher un déni de service à partir de cette vulnérabilité. "Cette vulnérabilité ne permet pas la divulgation d'informations confidentielles, mais pourrait permettre à un attaquant de supprimer des données qui pourraient inclure des données entraînant l'indisponibilité du service.", peut-on lire.

Elle affecte Windows 10, Windows 11, Windows Server 2016 et les versions plus récentes. Microsoft n'a pas précisé comment cette faille a été exploitée dans la nature ni qui l'a découverte.

CVE-2025-21418 - Élévation de privilèges dans un pilote Windows

La seconde vulnérabilité exploitée par les pirates, c'est la CVE-2025-21418 présente dans le pilote Ancillary Function pour WinSock de Windows. Cette fois-ci, l'attaquant peut obtenir les privilèges SYSTEM en exploitant cette vulnérabilité.

"Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft. Là encore, aucune information n'est fournie sur son exploitation ou son origine.

CVE-2025-21194 - Contournement de sécurité sur Microsoft Surface

Cette vulnérabilité, associée à la référence CVE-2025-21194, et celle qui sera présentée juste après, sont déjà connues publiquement, mais non exploitées. Elle présente la particularité d'affecter uniquement certains appareils Surface : Surface Hub, Surface Pro 8, Surface Pro 9, Surface Go 2, Surface Laptop 3, etc... Vous pouvez consulter le site de Microsoft pour obtenir la liste complète des appareils vulnérables.

La fonctionnalité de sécurité qu'il est possible de contourner est l'UEFI, mais sous certaines conditions. La firme de Redmond apporte les précisions suivantes : "Cette vulnérabilité de l'hyperviseur concerne les machines virtuelles au sein d'une machine hôte UEFI (Unified Extensible Firmware Interface). Sur certains matériels spécifiques, il peut être possible de contourner l'UEFI, ce qui pourrait compromettre l'hyperviseur et le noyau sécurisé."

Son exploitation sous-entend l'utilisation de la virtualisation sur l'appareil Microsoft Surface. De plus, Microsoft estime qu'il est très complexe d'exploiter cette vulnérabilité, notamment parce qu'il y a un ensemble de conditions à respecter.

CVE-2025-21377 - NTLM : usurpation d'identité et fuite d'informations

La faille de sécurité CVE-2025-21377, identifiée par Owen Cheung, Ivan Sheung et Vincent Yau (Cathay Pacific), Yorick Koster (Securify B.V.) et Blaz Satler (0patch, ACROS Security), est présente dans le protocole NTLM. Elle représente un risque élevé, notamment, car elle peut être exploitée facilement.

"Cette vulnérabilité révèle le hash NTLMv2 d'un utilisateur à l'attaquant qui peut l'utiliser pour s'authentifier en tant qu'utilisateur.", voilà à quoi il faut s'attendre avec cette faille. L'attaquant peut donc usurper l'identité d'un autre utilisateur, à cause du fait que cette vulnérabilité expose le hash NTLM d'un utilisateur.

L'attaquant peut tenter de casser le hash NTLM pour obtenir en clair le mot de passe de l'utilisateur ou en faire usage dans des attaques de type Pass-the-Hash.

L'exploitation repose sur une interaction de la part de l'utilisateur, mais celle-ci est minimale : un simple clic peut suffire ! Microsoft donne quelques exemples : "Une interaction minimale avec un fichier malveillant par un utilisateur, telle que la sélection (simple clic), l'inspection (clic droit) ou l'exécution d'une action autre que l'ouverture ou l'exécution du fichier, pourrait déclencher cette vulnérabilité."

Elle affecte Windows 10, Windows 11, Windows Server 2008 et toutes les versions plus récentes. Une vulnérabilité à ne pas négliger !

Les mises à jour de février 2025 pour Windows 10 et Windows 11

Retrouvez nos articles dédiés aux nouvelles mises à jour pour Windows 10 et Windows 11.

• Les mises à jour de février 2025 pour Windows 11
• La mise à jour de février 2025 pour Windows 10

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète