Home Technologie et scienceLe patch de juillet mardi apporte plus de 130 nouveaux défauts à aborder

Le patch de juillet mardi apporte plus de 130 nouveaux défauts à aborder

by Thomas Caron

Microsoft a corrigé un total de 130 nouvelles vulnérabilités et expositions communes (CVE) dans sa suite de produits dans sa mise à jour mensuelle du patch mardi, dont 10 défauts dangereux, dont beaucoup à Microsoft Office, tandis qu’un tas de problèmes de tiers, la dernière mise à jour de Redmond est la lumière mensuelle à des problèmes de zéro.

En effet, la vulnérabilité supérieure – et la seule qui se rapproche d’être classée comme un jour zéro – est suivie comme CVE-2025-49719. Il s’agit d’une vulnérabilité de divulgation d’informations dans Microsoft SQL Server résultant d’une mauvaise validation d’entrée, permettant un attaquant non autorisé pour divulguer des informations – spécifiquement une mémoire non initialisée – sur le réseau.

Crédité au Vladimir Aleksic de Microsoft, CVE-2025-49719, est considéré comme relativement trivial à exploiter, et bien que Microsoft n’ait aucune preuve qu’il soit exploité dans la nature, il a déjà été divulgué publiquement, de sorte que les attaques commenceront probablement par imminence. Le CVE-2025-49719 a un score CVSS de 7,5 et est classé comme une gravité importante.

Mike Walters, président et co-fondateur de Patch Management Specialist Action1, a décrit un certain nombre de scénarios d’attaque avancés dans lesquels le CVE-2025-49719 pourrait entrer en jeu.

«Un attaquant pourrait tracer les structures de base de données, identifier les points d’injection et recueillir des informations pour soutenir des intrusions plus ciblées», a-t-il déclaré. “[Or] En accédant à une mémoire non initialisé, ils peuvent récupérer des fragments d’identification d’authentification, permettant potentiellement de nouvelles attaques contre la base de données ou les systèmes connexes.

Walters a ajouté: «Le risque augmente lorsqu’il est combiné avec d’autres techniques – par exemple, en utilisant les données divulguées pour affiner l’injection SQL, contourner l’authentification ou se déplacer latéralement à l’aide de chaînes de connexion qui contiennent des informations d’identification à d’autres systèmes.

«L’impact potentiel sur les organisations est significatif, car tout utilisateur de Microsoft SQL Server pourrait être affecté, couvrant une grande partie du marché de la base de données d’entreprise.»

Walters a déclaré que le risque d’exposition aux données avait fait du CVE-2025-49719 du CVE-2025-49719 un préoccupation de grande priorité pour les défenseurs de toute organisation détenant des données précieuses ou réglementées. Il a ajouté que la nature complète des versions affectées – qui s’étendent sur plusieurs versions datant de neuf ans – peut indiquer un «problème fondamental» plus dans la façon dont SQL Server gère la gestion de la mémoire et la validation des entrées.

Les 10 vulnérabilités critiques, dans l’ordre du nombre de CVE, sont les suivantes:

  • CVE-2025-47980 – Une vulnérabilité de divulgation d’informations dans le composant d’imagerie Windows
  • CVE-2025-47981 – Une vulnérabilité RCE dans le mécanisme de sécurité de la négociation prolongée de SPNEGO
  • CVE-2025-48822 – Une vulnérabilité RCE dans Windows Hyper-V Discrete Device Affectation (DDA)
  • CVE-2025-49695 – Une vulnérabilité d’exécution du code distant (RCE) dans Microsoft Office
  • CVE-2025-49696 – Un deuxième défaut RCE à Microsoft Office
  • CVE-2025-49697 – Un troisième défaut RCE à Microsoft Office
  • CVE-2025-49702 – Un quatrième et dernier défaut RCE la même suite de produits
  • CVE-2025-49704 – Un émission de RCE dans Microsoft SharePoint
  • CVE-2025-49717 – Un défaut RCE dans Microsoft SQL Server
  • CVE-2025-49735 – Une vulnérabilité RCE dans Windows KDC Proxy Service (KPSSVC)

La chute de mardi de juillet énumère également deux vulnérabilités de RCE tierces critiques dans les processeurs AMD, auxquels les équipes de sécurité devraient accorder une attention particulière.

Aucun des 12 problèmes ci-dessus n’est actuellement connu pour être exploité, et les exploits n’ont pas encore été mis à disposition. Cependant, le CVE-2025-47981 dans SPNEGO – un protocole important qui est utilisé pour négocier l’authentification sur les services critiques, dont beaucoup sont orientés Internet – ont attiré l’attention du directeur principal de l’unité de recherche des menaces de Qualys (TRU), Saeed Abbasi, qui a prévenu que ce patch particulier devrait être appliqué immédiatement.

«Un seul paquet Negoex non authentifié peut laisser tomber le code contrôlé par l’attaquant directement dans le service de sous-système d’autorité de sécurité locale (LSASS), en fonction du système. Pas de clics, pas de crédits nécessaires – exactement la recette qui transforme les bogues en vers de réseau.

«Une fois à l’intérieur, l’exploit peut pivoter à chaque point de terminaison Windows 10 qui a toujours le paramètre PKU2U par défaut activé. Nous nous attendons à ce que les exploits Negoex soient armés en quelques jours, donc les attaques sont imminentes.

“Patch dans les 48 heures, commencez avec des actifs orientés vers Internet ou des VPN et tout ce qui touche à l’annonce. Si vous ne pouvez absolument pas patcher, désactivez ‘, autorisez les demandes d’authentification PKU2U’ via GPO et bloquez entrant 135/445/5985”, a-t-il déclaré.

Le fondateur et PDG de Watchtowr, Ben Harris, a convenu que c’était à regarder. Il a déclaré: «L’exécution du code à distance est mauvaise, mais une analyse précoce suggère que cette vulnérabilité peut être verbinable – le type de vulnérabilité qui pourrait être exploité dans les logiciels malveillants autopropulsion et faire de nombreux traumatismes de révision de l’incident de Wannacry, et similaire.

«Microsoft est clair sur les pré-réquisites ici: aucune authentification requise, il suffit d’accès au réseau. Nous ne devrions pas nous tromper – si l’industrie privée a remarqué cette vulnérabilité, elle est certainement déjà sur le radar de chaque attaquant avec une once de malveillance. Les défenseurs doivent tout laisser tomber rapidement, patcher rapidement et traquer les systèmes exposés.»

Notlogon – La vulnérabilité trouvée par une IA

Enfin, ce mois-ci, Dor Segal, chercheur principal en sécurité chez Silverfort, a mis en évidence le CVE-2025-47978, que son équipe a identifiée dans le protocole Windows Netlogon en utilisant un modèle de publication de grande intervention artificielle (AI) pour scanner et comparer les anciennes notes de version dans le cadre d’un test pour voir si AI ou non pouvait aider à accélérer le processus de découverte de vulnérabilité.

L’équipe Silverfort a surnommé ce problème notlogon – bien que notez que la divulgation de Microsoft se réfère à cela affectant le protocole Windows Kerberos étroitement lié.

Bien qu’il ne soit pas critique dans sa gravité, le CVE-2025-47978 permet à un attaquant d’utiliser une machine jointe au domaine avec un minimum de privilèges d’envoyer une demande d’authentification spécialement conçue qui aura pour effet d’écraser un contrôleur de domaine et de redémarrer complètement le système.

Un tel crash a un impact sur le processus de sécurité Core Windows LSASS et perturbe les services Active Directory tels que les connexions des utilisateurs, l’application de stratégie et l’accès aux ressources dépendantes de l’authentification.

Segal a déclaré que le problème était un excellent exemple de la façon dont même les ordinateurs à faible privilège avec un accès au réseau de base peuvent toujours être le signe avant-coureur de problèmes plus importants.

“Cette vulnérabilité montre comment seul un compte machine valide et un message RPC fabriqué peuvent réduire un contrôleur de domaine – l’épine dorsale des opérations Active Directory comme l’authentification, l’autorisation, l’application des politiques et plus encore”, a-t-il déclaré.

«Si plusieurs contrôleurs de domaine sont affectés, il peut arrêter les affaires. Notlogon est un rappel que les nouvelles fonctionnalités de protocole – en particulier dans les services d’authentification privilégiés – peuvent devenir des surfaces d’attaque pendant la nuit. Rester en sécurité n’est pas seulement d’appliquer des correctifs – il s’agit d’examiner les systèmes fondamentaux sur lesquels nous nous appuyons chaque jour.

“Je suggère fortement d’installer la dernière mise à jour du Microsoft Patch Mardi immédiatement à tous les contrôleurs de domaine, ainsi que le resserrement des contrôles d’accès pour les comptes de service et de machine”, a-t-il conclu.

You may also like

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.