CISA affirme que les acteurs de la menace exploitent maintenant activement une vulnérabilité d’escalade de privilèges Windows SMB de haute gravité qui peut leur permettre d’obtenir des privilèges SYSTÈME sur des systèmes non corrigés.
Répertoriée sous le numéro CVE-2025-33073, cette faille de sécurité affecte toutes les versions de Windows Server et Windows 10, ainsi que les systèmes Windows 11 jusqu’à Windows 11 24H2.
Microsoft a corrigé la vulnérabilité lors du Patch Tuesday de juin 2025, lorsqu’il a également révélé qu’elle provenait d’une faiblesse de contrôle d’accès inappropriée qui permet aux attaquants autorisés d’élever les privilèges sur un réseau.
« L’attaquant pourrait convaincre une victime de se connecter à un serveur d’applications malveillantes contrôlé par l’attaquant (par exemple, SMB). Lors de la connexion, le serveur malveillant pourrait compromettre le protocole », a expliqué la société.
« Pour exploiter cette vulnérabilité, un attaquant pourrait exécuter un script malveillant spécialement conçu pour contraindre la machine victime à se reconnecter au système d’attaque à l’aide de SMB et à s’authentifier. Cela pourrait entraîner une élévation des privilèges. »
À l’époque, un avis de sécurité indiquait que les informations sur le bogue étaient déjà accessibles au public avant la publication des mises à jour de sécurité, mais la société n’a pas encore reconnu publiquement les affirmations de CISA selon lesquelles CVE-2025-33073 est sous exploitation active.
Microsoft a attribué la découverte de cette faille à plusieurs chercheurs en sécurité, dont Keisuke Hirata de CrowdStrike, Wilfried Bécard de Synacktiv, Stefan Walter de SySS GmbH, James Forshaw de Google Project Zero et RedTeam Pentesting GmbH.
CISA n’a pas encore partagé plus d’informations sur les attaques CVE-2025-33073 en cours, mais elle a ajouté la faille à son Catalogue de vulnérabilités exploitées connues, donnant aux agences de la Branche Exécutive Civile fédérale (FCEB) trois semaines pour sécuriser leurs systèmes d’ici le 10 novembre, comme mandaté par Directive opérationnelle contraignante (BOD) 22-01.
Alors que la DBO 22-01 ne cible que les agences fédérales, l’agence américaine de cybersécurité encourage toutes les organisations, y compris celles du secteur privé, à veiller à ce que ce bogue de sécurité activement exploité soit corrigé dès que possible.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti lundi la CISA.