La mise à jour de sécurité Patch Tuesday de Microsoft pour avril comprenait 134 failles, dont une faille zero-day activement exploitée.
Les correctifs de sécurité pour Windows 10 étaient indisponibles lorsque les correctifs Windows 11 ont été publiés. Les correctifs Windows 10 sont arrivés depuis,mais le retard était inhabituel.
CVE-2025-29824 a été détectée.
La vulnérabilité zero-day était CVE-2025-29824, un bug d’élévation de privilège dans le pilote Windows Common Log File System (CLFS).
Selon un expert, « cette vulnérabilité est importante car elle affecte un composant central de Windows, impactant un large éventail d’environnements, y compris les systèmes d’entreprise et les infrastructures critiques. Si elle est exploitée,elle permet une élévation de privilège au niveau SYSTEM,le privilège le plus élevé sur un système Windows. »
Les attaques d’élévation de privilège exigent que l’acteur malveillant ait d’abord une emprise sur le système.
Un ingénieur de recherche a déclaré que « les failles d’élévation de privilège dans CLFS sont devenues particulièrement populaires parmi les opérateurs de ransomware au fil des ans. »
Un ingénieur en cybersécurité a ajouté que « ce qui rend cette vulnérabilité particulièrement préoccupante, c’est que Microsoft a confirmé une exploitation active, mais qu’aucun correctif n’a été publié pour les systèmes Windows 10 32 bits ou 64 bits. L’absence de correctif laisse un vide critique dans la défense d’une grande partie de l’écosystème Windows. »
le déploiement retardé des correctifs Windows 10, associé à un retard de 40 minutes dans la mise à jour de Windows 11, ajoute du poids aux préoccupations concernant les perturbations internes ou les défis chez microsoft. La raison du retard reste incertaine, les chercheurs en sécurité prennent note du calendrier, compte tenu de l’exploitation active de CVE-2025-29824.
Microsoft a révélé que CVE-2025-29824 a été exploitée contre « un petit nombre de cibles » dans « des organisations des secteurs des technologies de l’details (TI) et de l’immobilier des États-Unis, du secteur financier du Venezuela, d’une société de logiciels espagnole et du secteur de la vente au détail d’Arabie saoudite ».
Un expert a noté qu’il discutait récemment des vulnérabilités CLFS et de la façon dont elles semblent se produire par vagues. Il a ajouté que « lorsqu’une vulnérabilité dans CLFS est corrigée, les gens ont tendance à creuser et à regarder ce qui se passe et à découvrir d’autres vulnérabilités dans le processus. »
Vulnérabilités courantes : Exécution de code à distance et failles Microsoft Office.
D’autres éléments notables du Patch Tuesday d’avril incluent un correctif pour CVE-2025-26663, une faille critique qui pourrait affecter les organisations exécutant des serveurs Windows lightweight Directory Access Protocol (LDAP).
Un expert a souligné CVE-2025-27472, une vulnérabilité dans Mark of the Web (MOTW) que Microsoft a répertoriée comme Exploitation plus probable. Il a déclaré qu’« il est courant de voir des vulnérabilités MOTW utilisées par des acteurs malveillants. Je ne serais pas surpris si cette vulnérabilité est exploitée à l’avenir. »
Microsoft a publié plusieurs correctifs pour les CVE dans Office (CVE-2025-29791, CVE-2025-27749, CVE-2025-27748 et CVE-2025-27745). La popularité de microsoft Office signifie que ces vulnérabilités ont le potentiel de problèmes généralisés, bien qu’elles nécessitent toutes une ingénierie sociale réussie ou une exécution de code à distance pour injecter un fichier malveillant.
Bien que certains de ces CVE aient permis l’exécution de code à distance (RCE), le Patch tuesday de ce mois-ci a raconté une histoire différente dans l’ensemble.
Un expert a déclaré que « pour la première fois depuis août 2024, les vulnérabilités de Patch Tuesday étaient davantage axées sur les bugs d’élévation de privilèges, qui représentaient plus de 40 % (49) de toutes les vulnérabilités corrigées. Nous voyons généralement les failles d’exécution de code à distance (RCE) dominer les versions de Patch tuesday, mais seulement un quart des failles (31) étaient des RCE ce mois-ci. »
Un expert a noté qu’Office, les navigateurs et MOTW sont souvent apparus dans les mises à jour de Patch Tuesday ces derniers temps.
Il a ajouté que « si j’étais un acheteur d’infosec, je regarderais les tendances des vulnérabilités Microsoft : les technologies récurrentes et couramment exploitées comme Office, Edge, CLFS et MOTW, et je demanderais à mes fournisseurs comment ils m’aident à me défendre de manière proactive contre ces types de vulnérabilités. »
Apple publie une importante mise à jour de sécurité.
Il a été souligné que les utilisateurs d’Apple ne doivent pas oublier les correctifs de sécurité.
apple a publié une importante mise à jour de sécurité le 31 mars, corrigeant certaines vulnérabilités activement exploitées. En général, Patch Tuesday est le bon moment pour les organisations pour déployer les mises à jour sur les appareils appartenant à l’entreprise.
Il est conseillé de sauvegarder les appareils avant de les mettre à jour au cas où quelque chose se casserait dans le logiciel nouvellement installé.
Patch Tuesday d’avril : analyze des vulnérabilités Microsoft et implications
Le rapport de la mise à jour de sécurité “Patch Tuesday” de Microsoft pour avril révèle un paysage de menaces complexes et des retards inhabituels. Voici un résumé des points clés :
Nombre de failles : 134 failles corrigées.
Faille zero-day exploitée : CVE-2025-29824, une faille d’élévation de privilège dans le pilote CLFS (Common Log File System).
Retard notable : Les correctifs Windows 10 ont été publiés après les correctifs Windows 11, ce qui est inhabituel.
Critères de CVE-2025-29824 :
Type : Élévation de privilège.
Composant affecté : Pilote Windows CLFS.
impact : accès au niveau SYSTEM, le privilège le plus élevé.
Exploitation confirmée.
Absence initiale de correctif pour Windows 10 (32 et 64 bits).
Cibles d’attaques : Organisations des secteurs IT,immobilier,financier (Venezuela),société de logiciels (Espagne) et vente au détail (Arabie saoudite).
Autres vulnérabilités notables :
CVE-2025-26663 : Faille critique affectant les serveurs Windows LDAP.
CVE-2025-27472 : Vulnérabilité “Mark of teh Web” (MOTW), considérée comme “Exploitation plus probable”.
Plusieurs CVE dans Microsoft Office (CVE-2025-29791, CVE-2025-27749, CVE-2025-27748, CVE-2025-27745).
Tendances des vulnérabilités :
Élévation de privilège dominante (49 failles), représentant plus de 40 % des vulnérabilités corrigées.
Moins de failles RCE (Exécution de code à distance) que d’habitude (31).
Récurrence des vulnérabilités dans Office, les navigateurs et MOTW.
Recommandations : Surveiller les technologies récurrentes et couramment exploitées (Office, Edge, CLFS, MOTW) et demander aux fournisseurs comment se protéger proactivement.
Apple : Apple a également publié une mise à jour de sécurité importante corrigeant des vulnérabilités activement exploitées le 31 mars. Les utilisateurs devraient penser aux mises à jour.
Tableau récapitulatif des vulnérabilités clés
| Vulnérabilité | Type de faille | Composant affecté | Impact |
| :———— | :————————– | :———————– | :————————————– |
| CVE-2025-29824 | Élévation de privilège | CLFS | Accès au niveau SYSTEM |
| CVE-2025-26663 | Critique | Serveurs Windows LDAP | Potentiel de compromission |
| CVE-2025-27472 | MOTW | N/A | Exploitation probable |
| Office CVEs | Exécution de code à distance | Microsoft Office | Nécessite une ingénierie sociale réussie |
FAQ sur les vulnérabilités Microsoft
Qu’est-ce que “Patch Tuesday” ?
Le “Patch Tuesday” est le jour où Microsoft publie des mises à jour de sécurité mensuelles.
Qu’est-ce qu’une faille zero-day ?
Une faille zero-day est une vulnérabilité de sécurité non détectée qui est activement exploitée par des attaquants et pour laquelle aucun correctif n’est encore disponible.
Quel est l’impact de la faille CVE-2025-29824 ?
Cette faille permet une élévation de privilège, permettant aux attaquants d’obtenir le privilège le plus élevé sur un système Windows.
Pourquoi le retard des correctifs Windows 10 est-il préoccupant ?
Cela expose les systèmes Windows 10 non patchés à des attaques potentielles.
Qu’est-ce que MOTW ?
MOTW (Mark of the Web) est une fonctionnalité de sécurité dans Windows qui marque les fichiers téléchargés d’Internet. les vulnérabilités MOTW permettent aux attaquants de contourner les protections de sécurité.
Que doivent faire les utilisateurs et les organisations ?
Appliquer rapidement les mises à jour de sécurité, surveiller les menaces, sauvegarder les données avant les mises à jour.
