Une vulnérabilité zero-day a été découverte dans Windows, permettant l'exécution de code à distance. Cette faille touche plusieurs versions de Windows et est activement exploitée. Microsoft a publié un patch d'urgence pour corriger ce problème, mais les experts recommandent vivement de mettre à jour les systèmes immédiatement.

un bug d’escalade de privilèges via NTFS et SMB

12 juillet 2025 – Microsoft a déployé son Patch Tuesday de juillet 2025, corrigeant une vulnérabilité zero‑day critique — plus de 130 failles au total pour différents produits, dont Windows, SQL Server, Office et SharePoint ptsecurity.com.

🌐 CVE-2025-49689 : faille NTFS pour élever les privilèges via VHD

• Signalée par l'équipe de Positive Technologies, cette vulnérabilité affecte le pilote NTFS sur Windows 10, 11 ainsi que Server 2019/2022/2025 Microsoft+7ptsecurity.com+7SOCRadar® Cyber Intelligence Inc.+7.

• Elle permet l’élévation de privilèges si un utilisateur ouvre un fichier VHD malveillant, lui conférant potentiellement un contrôle total sur le système BleepingComputer+5ptsecurity.com+5SOC Prime+5.

• CVSS 7.8 (sévérité « élevé »).

• Microsoft a publié un correctif dans le Patch Tuesday de juillet 2025 Microsoft+8ptsecurity.com+8SOC Prime+8.

• Recommandation : installez immédiatement les mises à jour Windows, et n’ouvrez des VHD qu'à partir de sources sûres ptsecurity.com.

🔐 CVE-2025-33073 : zero‑day connu affectant le client SMB

• Un autre zero‑day concerne le client SMB de Windows, identifié comme CVE-2025-33073 The Hacker News+8SOC Prime+8Microsoft+8.

• Il permet à un attaquant de pousser un client Windows à s’authentifier sur un faux serveur SMB, entraînant l’élévation de privilèges au niveau SYSTEM Zero Day Initiative+2SOC Prime+2Microsoft+2.

• Exploitation simple : l’utilisateur doit simplement accéder au serveur SMB malveillant.

• Un correctif est disponible, et il est conseillé d’activer le SMB signing côté serveur pour réduire les risques .

🔄 Autres failles critiques du Patch Tuesday

Microsoft a également résolu :

• CVE-2025-49719 : zero‑day d’information disclosure dans SQL Server ;

• CVE-2025-47981 : RCE (remote code execution) dans le mécanisme SPNEGO (Windows) ;

• Et 14 vulnérabilités RCE jugées critiques dans Office, SharePoint, Hyper‑V, KDC Proxy, entre autres BleepingComputer+1Ivanti+1ptsecurity.com+7Zero Day Initiative+7SOCRadar® Cyber Intelligence Inc.+7.

🛠️ Actions recommandées

Pour tous les utilisateurs et administrateurs Windows :

1. Appliquez immédiatement les mises à jour de juillet 2025 (Windows, SQL Server, Office).

2. Ouvrez seulement les VHD de sources fiables ; autrement, bloquez-les.

3. Activez SMB signing — une protection efficace contre les attaques SMB man‑in‑the‑middle.

4. Surveillez les connexions SMB sorts et entrants, en alertant sur toute activité inhabituelle.

5. Auditez l’utilisation des privilèges SYSTEM, notamment après l’ouverture d’un VHD suspect ou une authentification SMB à un serveur inconnu.

🔎 En résumé

Le Patch Tuesday de juillet 2025 corrige un zero‑day NTFS exploitant des VHD (CVE-2025-49689) et un autre zero‑day SMB (CVE-2025-33073), tous deux dangereux pour l’intégrité des systèmes. Ces failles montrent que même le système de fichiers et les services réseau restent des cibles critiques pour les cyberattaquants. La mise à jour immédiate et les bonnes pratiques de sécurité sont plus essentielles que jamais.

Restez attentif·ve·s : nous mettrons à jour cet article dès que de nouveaux détails émergeront sur l'exploitation en cours, les attaques réelles détectées ou d'autres correctifs additionnels.