Microsoft a lancé des mises à jour pour traiter un total de 111 vulnérabilités dans son portefeuille de logiciels, dont 16 ont été classées comme critiques. Parmi celles-ci, on trouve des failles significatives comme CVE-2025-53786, qui affecte les déploiements hybrides de Microsoft Exchange Server, et CVE-2025-53779, une vulnérabilité d’escalade de privilèges dans Windows Kerberos qui a été révélée publiquement lors de la divulgation.
Une solution pour que vous n’ayez pas à souffrir d’imprévus
La vulnérabilité BadSuccessor, récemment identifiée, permet à un attaquant qui a déjà accès à certains attributs de l’Active Directory de compromettre un domaine, bien qu’elle n’affecte qu’environ 0,7 % des domaines en circulation. Des spécialistes soulignent que cette faille peut faciliter à un attaquant, partant de droits administratifs limités, d’obtenir un contrôle total du domaine, en utilisant des techniques telles que le Kerberoasting ou le Silver Ticket.
De plus, Microsoft a corrigé quatre vulnérabilités d’exécution de code à distance, qui permettaient aux attaquants d’exécuter des commandes arbitraires et de compromettre des systèmes sans intervention du client. La société Check Point a révélé un défaut lié à un composant basé sur Rust du noyau de Windows qui peut provoquer des pannes système et a averti que cela pourrait représenter un risque considérable pour les entreprises avec de grandes équipes ou des employés à distance.
Un aspect pertinent est la vulnérabilité CVE-2025-50154, qui permet à un attaquant d’extraire des hachages NTLM sans nécessiter d’interaction de l’utilisateur, même sur des systèmes entièrement mis à jour. Cela facilite les attaques par relais et l’accès non autorisé, suscitant des inquiétudes concernant la sécurité dans les environnements d’entreprise.
Les mises à jour ne se contentent pas de traiter les vulnérabilités existantes, mais elles renforcent également les mesures de sécurité dans des applications comme Azure OpenAI et Microsoft 365 Copilot BizChat, qui ont déjà été atténuées sans nécessiter d’action de la part des utilisateurs.
