Microsoft a publié des correctifs pour corriger 67 failles de sécurité , dont un bug zero-day dans Web Distributed Authoring and Versioning (WEBDAV) qui, selon lui, est activement exploité dans la nature.

Sur les 67 vulnérabilités recensées, 11 sont jugées critiques et 56 importantes. Parmi elles, 26 failles d’exécution de code à distance, 17 failles de divulgation d’informations et 14 failles d’élévation de privilèges.

Ces correctifs s’ajoutent aux 13 failles corrigées par la société dans son navigateur Edge basé sur Chromium depuis la sortie de la mise à jour Patch Tuesday du mois dernier .

La vulnérabilité qui a été exploitée dans des attaques réelles concerne une exécution de code à distance dans WEBDAV ( CVE-2025-33053 , score CVSS : 8,8) qui peut être déclenchée en trompant les utilisateurs pour qu’ils cliquent sur une URL spécialement conçue.

Le géant technologique a remercié les chercheurs de Check Point, Alexandra Gofman et David Driker, pour la découverte et le signalement du bug. Il convient de noter que CVE-2025-33053 est la première vulnérabilité zero-day à être divulguée dans la norme WebDAV.

Dans un rapport distinct, l’entreprise de cybersécurité a attribué l’utilisation abusive de la vulnérabilité CVE-2025-33053 à un acteur malveillant connu sous le nom de Stealth Falcon (alias FruityArmor), connu pour exploiter les failles zero-day de Windows dans ses attaques. En septembre 2023, le groupe de pirates a été observé utilisant une porte dérobée baptisée Deadglyph dans le cadre d’une campagne d’espionnage visant des entités au Qatar et en Arabie saoudite.

« L’attaque a utilisé un fichier .url exploitant une vulnérabilité zero-day (CVE-2025-33053) pour exécuter un logiciel malveillant depuis un serveur WebDAV contrôlé par un pirate », a déclaré Check Point . « CVE-2025-33053 permet l’exécution de code à distance par manipulation du répertoire de travail. »

Dans la chaîne d’attaque observée contre une entreprise de défense turque non identifiée, l’acteur malveillant aurait utilisé la vulnérabilité CVE-2025-33053 pour déployer Horus Agent, un implant personnalisé conçu pour le système de commandement et de contrôle (C2) Mythic. La charge utile malveillante utilisée pour lancer l’attaque, un fichier de raccourci URL, aurait été envoyée sous forme de pièce jointe archivée dans un e-mail de phishing.

Le fichier URL est utilisé pour lancer iediagcmd.exe, un utilitaire de diagnostic légitime pour Internet Explorer, en l’exploitant pour lancer une autre charge utile appelée Horus Loader, qui est chargée de diffuser un document PDF leurre et d’exécuter Horus Agent.

« Écrit en C++, l’implant ne présente aucun chevauchement significatif avec les agents Mythic connus basés sur C, hormis des points communs dans la logique générique liée aux communications C2 Mythic », a déclaré Check Point. « Si le chargeur s’assure de mettre en œuvre certaines mesures pour protéger la charge utile, les acteurs malveillants ont intégré des précautions supplémentaires à la porte dérobée elle-même. »

Cela implique l’utilisation de techniques telles que le chiffrement des chaînes et l’aplatissement des flux de contrôle pour complexifier les analyses. La porte dérobée se connecte ensuite à un serveur distant pour récupérer des tâches lui permettant de collecter des informations système, d’énumérer des fichiers et des dossiers, de télécharger des fichiers depuis le serveur, d’injecter du shellcode dans les processus en cours d’exécution et de quitter le programme.

Chaîne d’infection CVE-2025-33053

L’agent Horus est considéré comme une évolution de l’implant Apollo personnalisé, un agent .NET open source pour le framework Mythic, qui était auparavant utilisé par Stealth Falcon entre 2022 et 2023.

« Horus est une version plus avancée de l’implant Apollo personnalisé des groupes de menaces, réécrit en C++, amélioré et refactorisé », a déclaré Check Point.

Similaire à la version Horus, la version Apollo introduit des fonctionnalités étendues d’identification des victimes tout en limitant le nombre de commandes prises en charge. Cela permet aux acteurs malveillants de se concentrer sur l’identification furtive de la machine infectée et la livraison de la charge utile suivante, tout en conservant une taille d’implant nettement inférieure (seulement 120 Ko) à celle de l’agent complet.

La société a déclaré avoir également observé que l’acteur de la menace exploitait plusieurs outils jusqu’alors non documentés, tels que les suivants :

• Credential Dumper, qui cible un contrôleur de domaine déjà compromis pour voler les fichiers liés aux informations d’identification d’Active Directory et du contrôleur de domaine
• Porte dérobée passive, qui écoute les requêtes entrantes et exécute les charges utiles du shellcode
• Keylogger, un outil C++ personnalisé qui enregistre toutes les frappes au clavier et les écrit dans un fichier sous « C:/windows/temp/~TN%LogName%.tmp »

Le keylogger ne dispose notamment d’aucun mécanisme C2, ce qui signifie qu’il fonctionne probablement en conjonction avec un autre composant capable d’exfiltrer le fichier vers les attaquants.

« Stealth Falcon utilise des outils commerciaux d’obscurcissement et de protection du code, ainsi que des versions personnalisées adaptées à différents types de charges utiles », a déclaré Check Point. « Cela rend leurs outils plus difficiles à rétroconcevoir et complique le suivi des évolutions techniques au fil du temps. »

L’exploitation active de CVE-2025-33053 a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à l’ ajouter au catalogue des vulnérabilités exploitées connues ( KEV ), obligeant les agences de la branche exécutive civile fédérale (FCEB) à appliquer le correctif d’ici le 1er juillet 2025.

« Ce qui rend cette faille particulièrement préoccupante, c’est l’utilisation généralisée de WebDAV dans les environnements d’entreprise pour le partage de fichiers et la collaboration à distance », a déclaré Mike Walters, président et cofondateur d’Action1 . « De nombreuses organisations activent WebDAV pour des besoins professionnels légitimes, souvent sans pleinement comprendre les risques de sécurité qu’il présente. »

La vulnérabilité la plus grave corrigée par Microsoft est une faille d’élévation de privilèges dans Power Automate ( CVE-2025-47966 , score CVSS : 9,8) qui pourrait permettre à un attaquant d’élever les privilèges sur un réseau. Cependant, aucune action du client n’est requise pour atténuer ce bug.

D’autres vulnérabilités notables incluent des failles d’élévation de privilèges dans Common Log File System Driver ( CVE-2025-32713 , score CVSS : 7,8), Windows Netlogon ( CVE-2025-33070 , score CVSS : 8,1) et Windows SMB Client ( CVE-2025-33073 , score CVSS : 8,8), ainsi qu’une vulnérabilité RCE non authentifiée critique dans le service proxy Windows KDC ( CVE-2025-33071 , score CVSS : 8,1).

« Au cours des derniers mois, le pilote CLFS est devenu une cible constante pour les acteurs de la menace et les chercheurs en sécurité en raison de son exploitation dans de multiples opérations de ransomware », a déclaré Ben McCarthy, ingénieur principal en cybersécurité chez Immersive.

Il s’agit d’un dépassement de tampon de tas, une vulnérabilité de corruption de mémoire. La complexité de l’attaque est considérée comme faible, et une exploitation réussie permet à un attaquant d’élever ses privilèges.

Adam Barnett, ingénieur logiciel en chef chez Rapid7, a déclaré que l’exploitation de CVE-2025-33071 nécessite que l’attaquant exploite une faille cryptographique et remporte une condition de course.

« La mauvaise nouvelle est que Microsoft considère que l’exploitation est plus probable quoi qu’il en soit, et comme un proxy KDC aide les requêtes Kerberos provenant de réseaux non fiables à accéder plus facilement aux ressources fiables sans avoir besoin d’une connexion TCP directe du client au contrôleur de domaine, le compromis ici est que le proxy KDC lui-même est très susceptible d’être exposé à un réseau non fiable », a ajouté Barnett.

Enfin, Microsoft a également déployé des correctifs pour corriger un bug de contournement de démarrage sécurisé ( CVE-2025-3052 , score CVSS : 6,7) découvert par Binarly qui permet l’exécution de logiciels non fiables.

« Une vulnérabilité existe dans une application UEFI signée avec un certificat UEFI tiers Microsoft, ce qui permet à un attaquant de contourner le démarrage sécurisé UEFI », a déclaré Redmond dans une alerte. « Un attaquant qui exploiterait cette vulnérabilité pourrait contourner le démarrage sécurisé. »

Le Centre de coordination CERT (CERT/CC), dans un avis publié mardi, a déclaré que la vulnérabilité est enracinée dans les applications UEFI (Unified Extensible Firmware Interface) DTBios et BiosFlashShell de DT Research, permettant le contournement du démarrage sécurisé à l’aide d’une variable NVRAM spécialement conçue.

« La vulnérabilité provient d’une mauvaise gestion d’une variable NVRAM d’exécution qui permet une primitive d’écriture arbitraire, capable de modifier les structures critiques du micrologiciel, y compris le protocole architectural global Security2 utilisé pour la vérification du démarrage sécurisé », a déclaré le CERT/CC .

« Étant donné que les applications concernées sont signées par l’autorité de certification Microsoft UEFI, cette vulnérabilité peut être exploitée sur n’importe quel système compatible UEFI, permettant à du code non signé de s’exécuter pendant le processus de démarrage. »

L’exploitation réussie de la vulnérabilité pourrait permettre l’exécution de code non signé ou malveillant avant même le chargement du système d’exploitation, permettant potentiellement aux attaquants de déposer des logiciels malveillants persistants capables de survivre aux redémarrages et même de désactiver les logiciels de sécurité.

Microsoft n’est cependant pas affecté par CVE-2025-4275 (alias Hydroph0bia ), une autre vulnérabilité de contournement de démarrage sécurisé présente dans une application UEFI InsydeH2O qui permet l’injection de certificats numériques via une variable NVRAM non protégée (« SecureFlashCertData »), entraînant l’exécution de code arbitraire au niveau du micrologiciel.

« Ce problème provient de l’utilisation non sécurisée d’une variable NVRAM, utilisée comme stockage sécurisé pour un certificat numérique dans la chaîne de validation de confiance », a déclaré le CERT/CC . « Un attaquant peut stocker son propre certificat dans cette variable et exécuter ensuite un micrologiciel arbitraire (signé par le certificat injecté) au début du processus de démarrage dans l’environnement UEFI. »

Correctifs logiciels d’autres fournisseurs#

Outre Microsoft, d’autres fournisseurs ont également publié des mises à jour de sécurité au cours des dernières semaines pour corriger plusieurs vulnérabilités, notamment :

• Adobe
• Amazon Web Services
• DMLA
• Bras
• Atlassian
• AutomationDirect
• Bosch
• Broadcom (y compris VMware)
• Canon
• Cisco
• D-Link
• Dell
• Drupal
• F5
• Fortinet
• GitLab
• Google Android et Pixel
• Google Chrome
• Google Cloud
• Hitachi Énergie
• HP
• HP Enterprise (y compris Aruba Networking)
• IBM
• Intel
• À l’intérieur
• Ivanti
• Jenkins
• Réseaux Juniper
• Lenovo
• Distributions Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE et Ubuntu
• MediaTek
• Mitel
• Mitsubishi Electric
• Moxa
• Mozilla Firefox et Thunderbird
• NVIDIA
• Palo Alto Networks
• Phoenix Technologies
• QNAP
• Qualcomm
• Cube rond
• Salesforce
• Samsung
• SÈVE
• Schneider Electric
• Siemens
• SolarWinds
• SonicWall
• Splunk
• Cadre Spring
• Synology
• Trend Micro Apex Central , Apex One , Endpoint Encryption PolicyServer et WFBS
• Vérité
• Zimbra , et
• Zoho ManageEngine Exchange Reporter Plus et OpManager