Le patch de février 2025 mardi est là, et Microsoft a livré des correctifs pour 56 vulnérabilités, dont deux jours zéro – CVE-2025-21418 et CVE-2025-21391 – sous exploitation active.
CVE-2025-21418 et CVE-2025-21391
CVE-2025-21418 est une vulnérabilité Dans le pilote de fonction ANDLARY Windows (AFD.SYS), qui interface avec l’API Windows Sockets pour permettre aux applications Windows de se connecter à Internet. Il peut être exploité par les attaquants pour élever les privilèges sur l’hôte cible.
«Un utilisateur authentifié devrait exécuter un programme spécialement conçu qui finit par exécuter le code avec des privilèges système. C’est pourquoi ces types de bogues sont généralement associés à un bug d’exécution de code pour reprendre un système, ” dit Dustin Childs, responsable de la sensibilisation à la menace à l’initiative Zero Day de Trend Micro.
Satnam Narang, ingénieur de recherche en personnel de Tenable, affirme que depuis 2022, il y a eu neuf vulnérabilités de privilèges dans le conducteur de la fonction auxiliaire pour Winsock, et un seul d’entre eux a été exploité dans la nature comme un jour zéro (CVE-2024-38193 ).
«Selon les rapports, le CVE-2024-38193 a été exploité par le groupe nord-coréen APT connu sous le nom de Groupe Lazare (également connu sous le nom de cobra caché ou de grésil diamant) pour implanter une nouvelle version de la rootkit Fudmodule afin de maintenir la persistance et la furtivité sur systèmes compromis. À l’heure actuelle, il n’est pas clair si le CVE-2025-21418 a également été exploité par le groupe Lazare », a-t-il ajouté.
CVE-2025-21391 affecte le stockage Windows dans diverses version de Windows et Windows Server. C’est une autre élévation de la faille de privilège qui, selon Pour Microsoft, permettrait uniquement aux attaquants de supprimer des fichiers ciblés sur un système, ce qui pourrait conduire le service indisponible.
De toute évidence, cependant, cela pourrait également conduire à une escalade des privilèges – comme décrit Par ZDI Resars Simon Zuckerbraun.
«Bien que nous ayons vu des problèmes similaires dans le passé, cela semble être la première fois que la technique est exploitée dans la nature. Il est également probablement associé à un bogue d’exécution de code pour reprendre complètement un système », a commenté Childs, et a conseillé aux utilisateurs de tester et de déployer le correctif pour cela rapidement.
Les deux jours zéro exploités ont été ajoutés au catalogue des vulnérabilités exploitées connues de CISA.
Autres vulnérabilités de note
CVE-2025-21194Une fonction de sécurité contourne la vulnérabilité affectant les ordinateurs portables de surface Microsoft, et CVE-2025-21377Une vulnérabilité de divulgation de hachage NTLMV2 qui pourrait être utilisée par les attaquants pour s’authentifier en tant qu’utilisateur, ont été marquées comme «divulguées publiquement».
Ce dernier est plus susceptible d’être exploité, juge Microsoft. «Les organisations utilisant des systèmes Windows qui ne comptent pas exclusivement sur Kerberos pour l’authentification sont à risque», » dit Mike Walters, président de l’action1.
CVE-2025-21376Une vulnérabilité critique de code distant résultant de plusieurs faiblesses pourrait être exploitée par des attaquants non authentifiés en envoyant une demande spécialement conçue à un serveur de protocole de répertoire léger Windows vulnérable (LDAP).
“Puisqu’il n’y a pas d’interaction utilisateur impliquée, cela rend ce bug à bug entre les serveurs LDAP affectés”, a noté Childs. «Microsoft répertorie cela comme« l’exploitation probable », donc même si cela peut être peu probable, je traiterais cela comme une exploitation imminente.»
#Microsoft #corrige #deux #jours #zéro #exploités #activement #CVE202521418 #CVE202521391