Patch Tuesday – Août 2025 : Microsoft corrige 107 vulnérabilités, dont 1 faille zero-day dans Kerberos
Le mardi 12 août 2025, Microsoft a mis en ligne son nouveau Patch Tuesday d'août 2025, avec au programme des correctifs pour 107 vulnérabilités, dont 1 faille zero-day dans Windows Kerberos. Faisons le point.
À l'occasion de ce Patch Tuesday d'août 2025, Microsoft a corrigé au total 13 failles de sécurité critiques, certaines dans Azure, d'autres dans Windows et la suite Microsoft Office. Voici les vulnérabilités en question :
- Azure Stack : CVE-2025-53793
- Azure Virtual Machines : CVE-2025-49707, CVE-2025-53781
- DirectX : CVE-2025-50176
- Windows - Composants graphiques : CVE-2025-50165
- Windows - GDI+ : CVE-2025-53766
- Windows - Message Queuing : CVE-2025-50177
- Windows - NTLM : CVE-2025-53778
- Microsoft Office : CVE-2025-53740, CVE-2025-53731
- Microsoft Word : CVE-2025-53784, CVE-2025-53733
- Hyper-V : CVE-2025-48807
Nous pouvons noter un total de 5 vulnérabilités corrigées dans Hyper-V. Ceci est vrai également avec Microsoft Exchange, puisque 5 failles importantes ont été corrigées dans le serveur de messagerie de Microsoft.
La faille de sécurité critique dans NTLM (CVSS de 8.8 sur 10) m'intéresse particulièrement puisqu'elle permet une élévation de privilèges. "Une mauvaise authentification dans Windows NTLM permet à un attaquant autorisé d'élever ses privilèges sur un réseau.", peut-on lire. Bien que la vulnérabilité n’ait pas été rendue publique et qu’aucune exploitation active n’ait été observée à ce jour, son exploitation est jugée probable par Microsoft.
CVE-2025-53779 - Windows Kerberos
Par l'intermédiaire de ce Patch Tuesday, Microsoft a corrigé une faille de sécurité zero-day, désormais associée à la référence CVE-2025-53779. Non exploitée, mais divulguée publiquement, cette vulnérabilité affecte l'authentification Kerberos dans Windows. De sévérité moyenne, cette vulnérabilité permet à un attaquant d'élever ses privilèges sur un réseau.
Selon les détails techniques fournit par Microsoft, cette vulnérabilité nécessite des privilèges élevés pour être exploitée. Autrement dit, l'attaquant doit déjà être authentifié en tant qu'utilisateur privilégié pour exploiter cette faille. D'ailleurs, celle-ci semble être une nouvelle fois liée à la fonctionnalité dMSA (comme Golden dMSA) de Windows Server 2025 : la seule version affectée par cette faiblesse.
Dans les faits, l'attaquant doit disposer d’un accès à deux attributs spécifiques utilisés par les comptes de service de type dMSA (group Managed Service Account) : msds-groupMSAMembership et msds-ManagedAccountPrecededByLink. Le premier permet l’utilisation du compte par l'utilisateur, tandis que le second exige des droits en écriture pour lier un utilisateur au compte de service. Si ces conditions sont réunies, un attaquant pourrait exploiter la faille pour obtenir les privilèges d’administrateur du domaine (si ce n'est pas déjà le cas), ce qui constitue un risque pour les domaines Active Directory.
Pour se protéger de cette faille, la mise à jour d'août 2025 doit être installée sur les serveurs Windows Server 2025 :
Cette publication Patch Tuesday arrive avec un peu de retard, en raison de mes congés des deux dernières semaines.
