Power Pages : Microsoft a corrigé une faille zero-day exploitée dans des cyberattaques !
Microsoft a publié un bulletin de sécurité concernant une vulnérabilité critique présente dans Power Pages. Elle a été exploitée par les cybercriminels en tant que faille zero-day. Quels sont les risques ? Qui a été impacté ? Faisons le point.
Pour rappel, Power Pages est une plateforme de développement web en mode SaaS, c'est-à-dire accessible via le Cloud. Cette solution, dans l'esprit low-code, peut être utilisée pour créer des sites web. Elle est intégrée à la suite Power Platform de Microsoft, aux côtés d'autres solutions comme Power BI, Power Apps et Power Automate.
CVE-2025-24989 : une vulnérabilité dans Power Pages
Bien que le Patch Tuesday de février 2025 ait été révélé par Microsoft le mardi 11 février 2025, l'entreprise américaine a publié un bulletin de sécurité supplémentaire en début de semaine. Celui-ci fait référence à la CVE-2025-24989, une vulnérabilité liée à un problème de contrôle d'accès inapproprié dans Power Pages. Elle permet à des acteurs malveillants, non autorisés, d'élever leurs privilèges sur un réseau.
"Une vulnérabilité improper access control de Power Pages permet à un attaquant non autorisé d'élever ses privilèges sur un réseau en contournant potentiellement le contrôle d'enregistrement de l'utilisateur.", peut-on lire sur le site de Microsoft.
Ce qui mérite une attention particulière, ce sont deux points :
- Il s'agit d'une plateforme Cloud, donc c'est Microsoft qui doit appliquer le patch de sécurité au niveau du service
- Elle a été exploitée par des cybercriminels dans le cadre d'attaques, en tant que faille zero-day
L'entreprise américaine a fait ce qu'elle devait faire : corriger la vulnérabilité à l'échelle du service. Une notification a également été émise aux entreprises impactées par les cyberattaques détectées, pour leur indiquer la marche à suivre.
"Cette vulnérabilité a déjà été atténuée dans le service et tous les clients affectés ont été informés.", indique le bulletin de sécurité de Microsoft. Aucun détail technique n'a été précisé à ce jour : nous ignorons comment les pirates sont parvenus à exploiter cette vulnérabilité. Étant donné qu'il s'agit d'un service Cloud, les attaques ont été probablement réalisées à distance.
Vérifiez l'activité sur votre tenant Microsoft 365
Si vous n'avez pas été notifiés, c'est que cette vulnérabilité ne vous a pas affectée, voilà ce que l'on peut lire sur le site du NIST. Malgré tout, il peut s'avérer judicieux d'effectuer quelques contrôles.
Voici quelques actions de vérification à appliquer :
- Consulter les journaux de Power Pages
- Vérifier la liste des comptes à privilèges et les éventuels nouveaux utilisateurs
- Vérifier les modifications récentes sur vos projets Power Pages
Enfin, Microsoft a également corrigé une autre faille de sécurité affectant Bing, identifiée sous le code CVE-2025-21355, bien qu'elle n'ait pas été exploitée selon les informations disponibles.
