Microsoft mardi libéré Mises à jour de la sécurité pour aborder 57 vulnérabilités de sécurité dans son logiciel, y compris un énorme six jours zéro qui, selon lui, a été activement exploité dans la nature.
Sur les 56 défauts, six sont évalués, 50 sont notés importants et un est faible en gravité. Vingt-trois des vulnérabilités adressées sont des bogues d’exécution de code à distance et 22 concernent l’escalade des privilèges.
Les mises à jour s’ajoutent à 17 vulnérabilités Microsoft s’est adressé dans son navigateur Edge basé sur le chrome depuis la sortie de la mise à jour du patch du mois dernier, dont l’une est un défaut d’usurpation spécifique au navigateur (CVE-2025-26643Score CVSS: 5.4).
Les six vulnérabilités qui ont fait l’objet d’une exploitation active sont répertoriées ci-dessous –
- CVE-2025-24983 (Score CVSS: 7.0) – Une vulnérabilité Windows Windows Winl32 Sous-système de sous-système après (UAF) qui permet à un attaquant autorisé d’élever les privilèges localement
- CVE-2025-24984 (Score CVSS: 4.6) – Une vulnérabilité de divulgation d’informations NTFS Windows qui permet à un attaquant avec un accès physique à un appareil cible et la possibilité de brancher un lecteur USB malveillant pour lire potentiellement des parties de la mémoire du tas
- CVE-2025-24985 (Score CVSS: 7.8) – Une vulnérabilité de débordement entier dans Windows Fast Fat File System Driver qui permet à un attaquant non autorisé d’exécuter du code localement
- CVE-2025-24991 (CVSS Score: 5.5) – Une vulnérabilité de lecture hors limites dans Windows NTFS qui permet à un attaquant autorisé de divulguer les informations localement
- CVE-2025-24993 (Score CVSS: 7.8) – Une vulnérabilité de débordement de tampon basée sur un tas dans Windows NTFS qui permet à un attaquant non autorisé d’exécuter du code localement
- CVE-2025-26633 (CVSS Score: 7.0) – Une vulnérabilité de neutralisation incorrecte dans la console de gestion Microsoft qui permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité locale
ESET, qui est crédité de la découverte et de la déclaration du CVE-2025-24983, a déclaré qu’il avait d’abord découvert l’exploit zéro jour dans la nature en mars 2023 et livré via une porte dérobée nommée Pipemagic sur des hôtes compromis.
“La vulnérabilité est une utilisation sans utilisation dans le pilote Win32K”, la société slovaque noté. “Dans un certain scénario réalisé à l’aide de l’API WaitForInpudle, la structure W32Process est déréférencée une fois de plus qu’elle ne devrait, ce qui a fait passer la vulnérabilité, une condition de course doit être gagnée.”
PipeMagic, découvert pour la première fois en 2022, est un cheval de Troie basé sur un plugin qui a ciblé des entités en Asie et en Arabie saoudite, avec les logiciels malveillants distribués sous la forme d’une fausse application Openai Chatgpt à la fin de 2024.
“L’une des caractéristiques uniques de PipeMagic est qu’elle génère un tableau aléatoire de 16 octets pour créer un tuyau nommé au format \. Pipe 1.
“Ce tuyau est utilisé pour recevoir des charges utiles codées, les signaux d’arrêt via l’interface locale par défaut. PipeMagic fonctionne généralement avec plusieurs plugins téléchargés à partir d’un serveur de commande et de contrôle (C2), qui, dans ce cas, a été hébergé sur Microsoft Azure.”
L’initiative Zero Day a noté que le CVE-2025-26633 découle de la façon dont les fichiers MSC sont gérés, permettant à un attaquant d’échapper aux protections de réputation des fichiers et d’exécuter du code dans le contexte de l’utilisateur actuel. L’activité a été liée à un acteur de menace suivi comme Encrypthub (aka Larva-208).
Action1 indiqué que les acteurs de la menace pourraient enchaîner les quatre vulnérabilités affectant les composants du système de fichiers Windows de base pour provoquer l’exécution du code distant (CVE-2025-24985 et CVE-2025-24993) et la divulgation d’informations (CVE-2025-24984 et CVE-2025-24991). Les quatre bogues ont été signalés de manière anonyme.
“Plus précisément, l’exploit s’appuie sur l’attaquant qui prépare un fichier VHD malveillant et convaincant un utilisateur d’ouvrir ou de monter un fichier VHD”, a déclaré Kev Breen, directeur principal de la recherche sur les menaces chez Immersive. “Les VHD sont des disques durs virtuels et sont généralement associés au stockage du système d’exploitation pour les machines virtuelles.”
“Bien qu’ils soient plus généralement associés aux machines virtuelles, nous avons vu des exemples au fil des ans où les acteurs de la menace utilisent des fichiers VHD ou VHDX dans le cadre des campagnes de phishing pour faire passer les charges utiles de logiciels malveillants.
Selon Satnam Narang, ingénieur de recherche en personnel supérieur chez Tenable, CVE-2025-26633 est le deuxième défaut de MMC à être exploité dans la nature en tant que zéro jour après le CVE-2024-43572 et CVE-2025-24985 CVE-2024-43572 et CVE-2025-24985 est la première vulnérabilité dans le système de fichiers Fast Fat Wild depuis le 2022.
Comme il est habituel, il n’est actuellement pas connu que les vulnérabilités restantes sont exploitées, dans quel contexte et l’échelle exacte des attaques. Le développement a invité L’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) les ajouter aux vulnérabilités exploitées connues (Kev) Catalogue, obligeant les agences fédérales à appliquer les correctifs d’ici le 1er avril 2025.
Patchs logiciels d’autres fournisseurs
En plus de Microsoft, des mises à jour de sécurité ont également été publiées par d’autres fournisseurs au cours des dernières semaines pour rectifier plusieurs vulnérabilités, notamment –



