Patch Tuesday – Janvier 2025 : 159 vulnérabilités corrigées, dont 8 zero-day !

Le premier Patch Tuesday de l'année 2025 a été publié par Microsoft ! Au programme : 159 failles de sécurité corrigées, comprenant 8 zero-day dont 3 sont déjà exploitées dans le cadre d'attaques. L'année 2025 commence fort !

On peut dire que le Patch Tuesday de janvier 2025 est particulièrement chargé, avec un total de 159 vulnérabilités corrigées, dont 12 sont considérées comme critique. Commençons par faire la liste de ces failles critiques :

• Azure Marketplace SaaS Resources : CVE-2025-21380
• BranchCache : CVE-2025-21296
• Microsoft Digest Authentication : CVE-2025-21294
• Microsoft Office - Excel : CVE-2025-21362, CVE-2025-21354
• Microsoft Purview : CVE-2025-21385
• RMCAST - Reliable Multicast Transport Driver : CVE-2025-21307
• Windows - NTLM : CVE-2025-21311
• Windows - OLE : CVE-2025-21298
• Windows - Services Bureau à distance (RDS) : CVE-2025-21309, CVE-2025-21297
• Windows - SPNEGO Extended Negotiation : CVE-2025-21295

Il est à noter que la vulnérabilité CVE-2025-21311 découverte dans NTLM v1 permet une élévation de privilèges sur la machine Windows. Elle affecte uniquement Windows Server 2022, Windows Server 2025, ainsi que Windows 11 version 24H2.

Dans la suite de cet article, nous présenterons les failles de sécurité zero-day patchées par Microsoft dans plusieurs de ses produits.

Les 8 failles zero-day corrigées par Microsoft

Le Patch Tuesday de ce mois-ci corrige trois failles zero-day activement exploitées par les cybercriminels. Les autres sont déjà connues publiquement, sans être exploitées à ce jour.

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 - Hyper-V

Hyper-V, l'hyperviseur de Microsoft, est particulièrement affecté, car trois failles de sécurité zero-day ont été patchées par les équipes de Microsoft. À chaque fois, la vulnérabilité permet une élévation de privilèges et offre la possibilité à l'attaquant d'obtenir les privilèges SYSTEM.

D'ailleurs, ce sont ces trois vulnérabilités qui sont déjà exploitées dans le cadre d'attaques ! Microsoft n'apporte aucune précision à ce sujet, mais visiblement, les pirates s'intéressent particulièrement à ces failles de sécurité.

Concernant les systèmes affectés, il y a : Windows 10 (22H2 et supérieur), Windows 11, Windows Server 2022 et Windows Server 2025. Bien entendu, Hyper-V doit être installé sur l'hôte.

CVE-2025-21275 - Windows - Installeur de paquets

Cette vulnérabilité, et celle présentée jusqu'à la fin de cet article, sont connues publiquement, mais ne font pas l'objet d'attaque. Microsoft a corrigé une faille zero-day dans l'installateur de paquets Windows App. En l'exploitant, un attaquant peut élever ses privilèges en tant que SYSTEM.

Concernant les systèmes affectés, il y a : Windows 10 (21H2 et supérieur), Windows 11, Windows Server 2022 et Windows Server 2025.

CVE-2025-21308 - Windows Themes

Microsoft a corrigé une vulnérabilité dans la fonction de gestion des thèmes Windows, exploitable simplement en affichant un fichier de thème malveillant dans l'explorateur Windows. En pratique, un attaquant peut exploiter cette faille en incitant un utilisateur à télécharger un fichier de thème modifié, généralement via un e-mail. Pour que la vulnérabilité soit déclenchée, l'utilisateur n'a pas besoin de cliquer ou d'ouvrir directement le fichier : l'affichage dans l'explorateur suffit pour activer l'attaque.

Découverte par Blaz Satler de 0patch (ACROS Security), cette faille est en réalité un contournement d'une vulnérabilité déjà connue : CVE-2024-38030. Des correctifs temporaires et non officiels avaient été déployés par 0patch en octobre, en attendant une correction officielle de Microsoft.

Pour que l'attaque fonctionne, le fichier de thème doit intégrer certaines options qui vont déclencher un appel vers un chemin réseau. Dans ce cas, Windows Windows envoie automatiquement des demandes d'authentification au serveur distant, incluant les identifiants NTLM de l'utilisateur. L'attaquant peut alors exploiter ces informations, notamment via la technique Pass-the-hash.

Au-delà d'installer le correctif, Microsoft précise que les systèmes où NTLM est désactivé ne sont pas affectés. L'éditeur américain recommande aussi de limiter le trafic sortant en NTLM, à l'aide d'une stratégie de groupe.

CVE-2025-21186, CVE-2025-21366, CVE-2025-21395 - Microsoft Access

La dernière série de failles de sécurité zero-day affecte les utilisateurs de la suite Microsoft Office, et plus particulièrement ceux qui ont l'application Access. Il s'agit de 3 vulnérabilités pouvant mener à une exécution de code à distance sur la machine Windows. Ces failles sont exploitées lorsque des documents Microsoft Access spécialement conçus sont ouverts.

Pour limiter les risques, Microsoft a mis en place une restriction bloquant l'accès aux types de fichiers suivants lorsqu'ils sont envoyés par e-mail : accdb, accde, accdw, accdt, accda, accdr, accdu.

Ces vulnérabilités ont été identifiées par Unpatched.ai, une plateforme assistée par IA spécialisée dans la découverte de failles. Voici la liste des versions affectées : Microsoft Access 2016, Microsoft Office 2019, Office LTSC 2021, Office LTSC 2024 et Microsoft 365 Apps for Enterprise.

Les mises à jour de janvier pour Windows 10 et Windows 11

Si vous souhaitez en savoir plus sur les mises à jour de janvier 2025 pour Windows 10 et Windows 11, voici nos articles :

• Windows 11 - Les mises à jour de janvier 2025
• Windows 10 - La mise à jour de janvier 2025

Source

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Voir la bio complète