Microsoft a publié un bulletin de sécurité pour une vulnérabilité d’élévation de privilèges de gravité élevée dans Power Pages, que les pirates informatiques ont exploitée comme un jour zéro dans les attaques.
La faille, identifiée comme CVE-2025-24989, est un problème de contrôle d’accès inapproprié affectant Power Pages, permettant à des acteurs non autorisés d’élever leurs privilèges sur un réseau et de contourner les contrôles d’enregistrement des utilisateurs.
Microsoft affirme avoir traité le risque au niveau du service et informé les clients concernés en conséquence, en joignant des instructions sur la façon de détecter une compromission potentielle.
« Cette vulnérabilité a déjà été atténuée dans le service et tous les clients concernés ont été informés. Cette mise à jour a résolu le contournement du contrôle d’enregistrement », lit-on dans le bulletin de sécurité de Microsoft.
« Les clients concernés ont reçu des instructions sur l’examen de leurs sites à la recherche de méthodes potentielles d’exploitation et de nettoyage. Si vous n’avez pas été averti, cette vulnérabilité ne vous affecte pas. »
Microsoft Power Pages est une plate-forme de développement Web SaaS à faible code qui permet aux utilisateurs de créer, d’héberger et de gérer des sites Web d’entreprise sécurisés orientés vers l’extérieur.
Il fait partie de la plate-forme Microsoft Power, qui comprend des outils tels que Power BI, Power Apps et Power Automate.
Étant donné que Power Pages est un service basé sur le cloud, on peut supposer que l’exploitation a eu lieu à distance.
Le géant du logiciel n’a pas fourni de détails sur la manière dont la faille a été exploitée lors d’attaques.
En plus de la faille Power Pages, Microsoft a également corrigé hier une vulnérabilité d’exécution de code à distance Bing, qui est suivie comme CVE-2025-21355 mais n’a pas été marquée comme exploitée.
Problème résolu, mais vérifications requises
Microsoft a déjà appliqué des correctifs au service Power Pages et le fournisseur a partagé en privé des conseils directement avec les clients concernés. Néanmoins, certains conseils de sécurité génériques peuvent être pris en compte par les utilisateurs.
Les administrateurs doivent examiner les journaux d’activité pour détecter les actions suspectes, les inscriptions d’utilisateurs ou les modifications non autorisées.
Étant donné que CVE-2025-24989 est un bogue d’élévation de privilèges, les listes d’utilisateurs doivent également être examinées de près pour vérifier les administrateurs et les utilisateurs à privilèges élevés.
Les modifications récentes des privilèges, des rôles de sécurité, des autorisations et des contrôles d’accès aux pages Web doivent être examinées plus en détail.
Les comptes non autorisés ou ceux présentant une activité non autorisée doivent être immédiatement révoqués, les informations d’identification affectées doivent être réinitialisées et l’authentification multifacteur (MFA) doit être appliquée à tous les comptes.