Les administrateurs systèmes attendaient le Patch Tuesday de Microsoft du mois de mai afin de connaître les correctifs à appliquer prioritairement. Dans sa livraison, l’éditeur propose 70 patchs pour plusieurs solutions, mais un focus doit être privilégié sur cinq failles de type zero day actuellement exploitées par des cybercriminels.

Corruption de mémoire sur le moteur de scripts

Parmi elles, il y a la CVE-2025-30397, une vulnérabilité de corruption de mémoire du moteur de scripts. Exploitée, elle entraîne l’exécution de code à distance via une confusion de type dans le moteur de scripts de Microsoft. Elle affecte le mode Internet Explorer dans Edge, encore largement utilisé pour la compatibilité avec les systèmes hérités. « Bien que l’interaction de l’utilisateur soit nécessaire, la diffusion via des liens de phishing ou des e-mails reste un risque majeur », a déclaré Mike Walters, président d’ Action1(éditeur de solution de patch management) auprès de nos confrères de CSO.  Il ajoute, «  Les RSSI doivent sensibiliser davantage les utilisateurs au phishing et mettre en œuvre un filtrage de contenu web et des contrôles de sécurité des e-mails robustes »

Un duo de failles très critiques concerne une élévation de privilège du du pilote Windows Common Log File System (CLFS). Les CVE-2025-32701 et CVE-2025-32706 donnent la capacité à des attaquants d’obtenir des droits au niveau du système. « CLFS étant un composant essentiel de toutes les versions de Windows prises en charge, le risque s’étend à la plupart des environnements d’entreprise », souligne le dirigeant. Il complète son propos en précisant, « outre les correctifs, les RSSI doivent examiner les politiques de gestion des privilèges et surveiller les activités anormales susceptibles de signaler des tentatives d’exploitation. »

Office et Remote Desktop Client touchés

Toujours dans les vulnérabilités à gérer en priorité, deux concernent Office. Les CVE-2025-30386 et CVE-2025-30377 engendrent de l’exécution de code à distance sans interaction de l’utilisateur, notamment via le volet de prévisualisation d’Outlook, a noté Mike Walters. Les attaquants exploitent des failles de gestion de la mémoire pour exécuter du code arbitraire, ce qui représente un risque important compte tenu de l’omniprésence de Microsoft Office dans les entreprises, a-t-il ajouté. « Les correctifs seuls peuvent ne pas suffire : les RSSI doivent désactiver le volet d’aperçu lorsque cela est possible et renforcer les politiques de prévention de l’ouverture de documents non sollicités » 

Enfin, trois failles (CVE-2025-29966 et CVE-2025-29967) concernent Remote Desktop client et Gateway Service. Ces vulnérabilités affectent les services d’accès à distance, essentiels au télétravail et à l’administration informatique, entraînant l’exécution de code arbitraire sur les systèmes clients et serveurs. L’exploitation peut se faire par hameçonnage ou par usurpation DNS qui redirige les utilisateurs vers des serveurs RDP malveillants, a souligné Mike Walters. « Les RSSI doivent aller au-delà des correctifs en appliquant des contrôles stricts sur l’utilisation du RDP, en permettant l’authentification au niveau du réseau et en surveillant les activités RDP suspectes » confie-t-il.

Vigilance sur une faille importante dans Azure

« De nombreuses personnes vont crier haut et fort aujourd’hui au sujet des quatre vulnérabilités critiques et de la vulnérabilité importante [dans Azure], toutes notées au-dessus de CVSS 9.0 », a déclaré Tyler Reguly, directeur associé de la R&D sécurité chez Fortra. « Je pense que ces personnes attirent l’attention au mauvais endroit. Les quatre vulnérabilités critiques ont déjà été corrigées par Microsoft.» Comme aucune action n’est requise de la part du service informatique, a-t-il déclaré, « il n’y a aucune raison d’attirer l’attention de tous sur elles. Attirons plutôt l’attention des utilisateurs sur les points où ils peuvent agir et améliorer la sécurité de leurs environnements. »

Il ne reste donc que la seule vulnérabilité importante notée 9.8, publiée sous forme d’image Docker. Tyler Reguly précise que « les utilisateurs des services d’IA Azure Document Intelligence Studio devraient prendre le temps de mettre à jour leur image avec la dernière balise afin de limiter cette vulnérabilité ». Par ailleurs, le responsable observe que « outre les nombreux services Azure corrigés par Microsoft et ne nécessitant aucune intervention de la part de l’utilisateur final, nous constatons l’apparition de composants rarement corrigés dont les noms pourraient être inconnus, comme Microsoft Dataverse et les services Azure AI Document Intelligence Studio. Demandez à vos équipes comment elles gèrent ces mises à jour, qui utilisent des mécanismes de mise à jour non standard, et vérifiez si elles connaissent réellement leur environnement et leurs processus de mise à jour. »

Une urgence toute relative

Johannes Ullrich, doyen de la recherche au SANS Institute, estime qu’aucun des correctifs publiés ne constitue une urgence. Il a plutôt déclaré que les RSSI devraient s’assurer que les correctifs sont déployés conformément à leur programme de gestion des vulnérabilités. Il est particulièrement important de vérifier que les correctifs ont été correctement appliqués. Une vulnérabilité intéressante a déjà été exploitée, a-t-il indiqué : CVE-2025-30397.

Cette vulnérabilité (détaillée ci-dessus par Mike Walters) n’est exploitable que si Edge fonctionne en mode « Internet Explorer ». Par défaut, le navigateur ne fonctionne pas en mode « Internet Explorer », mais il peut y avoir des cas, notamment sur les postes de travail utilisés par les administrateurs système et les développeurs, où il est approprié d’activer ce mode, a déclaré M. Ullrich. La gestion de la configuration devrait être utilisée pour empêcher que cela ne se produise, sauf si cela est spécifiquement requis pour un cas d’utilisation particulier, a-t-il ajouté.