La société slovaque de cybersécurité ESET affirme qu’une vulnérabilité zero-day nouvellement corrigée dans le sous-système du noyau Windows Win32 a été exploitée dans des attaques depuis mars 2023.
Corrigé dans les mises à jour de sécurité Windows publiées lors du Patch Tuesday de ce mois-ci, la faille de sécurité est désormais suivie sous le numéro CVE-2025-24983 et a été signalée à Microsoft par le chercheur ESET Filip Jurčacko.
La vulnérabilité est causée par une faiblesse d’utilisation après libération qui permet aux attaquants disposant de faibles privilèges d’obtenir des privilèges SYSTÈME sans nécessiter d’interaction de l’utilisateur. Cependant, Redmond a qualifié ces attaques de très complexes, car une exploitation réussie nécessite que les acteurs de la menace gagnent une condition de course.
ESET a déclaré mardi qu’un exploit zero-day ciblant la vulnérabilité CVE-2025-24983 avait été « vu pour la première fois dans la nature » en mars 2023 sur des systèmes backdoor utilisant des logiciels malveillants PipeMagic.
Cet exploit cible uniquement les anciennes versions de Windows (Windows Server 2012 R2 et Windows 8.1) que Microsoft ne prend plus en charge. Cependant, la vulnérabilité affecte également les versions plus récentes de Windows, y compris les systèmes Windows Server 2016 et Windows 10 toujours pris en charge exécutant Windows 10 build 1809 et versions antérieures.
« La vulnérabilité Use-After-Free (UAF) est liée à une mauvaise utilisation de la mémoire pendant le fonctionnement du logiciel. Cela peut entraîner des plantages logiciels, l’exécution de code malveillant (y compris à distance), une augmentation des privilèges ou une corruption des données », a également déclaré ESET à Breachtrace. « L’exploit a été déployé via la porte dérobée PipeMagic, capable d’exfiltrer des données et de permettre un accès à distance à la machine. »
PipeMagic a été découvert par Kaspersky en 2022, et il peut être utilisé pour récolter des données sensibles, fournit aux attaquants un accès à distance complet aux appareils infectés et leur permet de déployer des charges utiles malveillantes supplémentaires pour se déplacer latéralement à travers les réseaux des victimes.
En 2023, Kaspersky l’a vu déployé dans des attaques de ransomware Nokoyawa qui exploitaient un autre jour zéro Windows, une faille d’escalade de privilèges dans le Pilote commun du Système de fichiers journaux suivi sous le nom de CVE-2023-28252.
Les agences fédérales ont reçu l’ordre de patcher d’ici le 1er avril
Au cours du Patch Tuesday de mars 2025, Microsoft a également corrigé les cinq vulnérabilités zero-day suivantes marquées comme activement exploitées:
- CVE-2025-24984 – Vulnérabilité de Divulgation d’Informations Windows NTFS
- CVE-2025-24985 – Vulnérabilité d’Exécution de Code à Distance du Pilote de Système de Fichiers FAT Rapide Windows
- CVE-2025-24991 – Vulnérabilité de Divulgation d’Informations Windows NTFS
- CVE-2025-24993 – Vulnérabilité d’Exécution de Code à Distance Windows NTFS
- CVE-2025-26633 – Contournement de la Vulnérabilité de la Fonctionnalité de Sécurité de la Console de Gestion Microsoft
Hier, CISA a ajouté les six jours zéro à son Catalogue de vulnérabilités exploitées Connues, ordonnant aux agences de l’Exécutif Civil Fédéral (FCEB) de sécuriser leurs systèmes d’ici le 1er avril, comme l’exige la Directive opérationnelle contraignante (BOD) 22-01.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti l’agence américaine de cybersécurité.
« Bien que la DBO 22-01 ne s’applique qu’aux agences FCEB, la CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leur pratique de gestion des vulnérabilités. »