Microsoft a publié son Patch mardi d’octobre 2025 mise à jour de sécurité, une version de taille record corrigeant 175 vulnérabilités. La mise à jour inclut deux failles zero-day activement exploitées et marque également la fin du support de sécurité régulier pour le système d’exploitation Windows 10. Le volume de 175 vulnérabilités et expositions communes (CVE) fait de cette version la plus grande mise à jour du Patch Tuesday documentée par les chercheurs en sécurité ces dernières années. La publication de ce seul mois a propulsé à 1 021 le nombre total de vulnérabilités uniques corrigées par l’entreprise en 2025. Ce chiffre dépasse le total de 1 009 CVE corrigés de l’année précédente. Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré : « À deux mois de la fin de cette année, nous avons déjà dépassé le total de 1 009 CVE corrigés de l’année dernière, alors que la version de ce mois-ci nous amène à 1 021. » Narang a précisé que cette mise à jour est la plus importante depuis que Tenable a commencé à suivre les versions de correctifs Microsoft en 2017. Il a également précisé que ce décompte n’inclut pas les correctifs hors cycle publiés avant la mise à jour principale ou les vulnérabilités pour lesquelles Microsoft n’est pas l’émetteur désigné. L’ensemble des failles traitait d’un large éventail de problèmes de sécurité, notamment les vulnérabilités d’exécution de code à distance (RCE), les failles d’élévation de privilèges (EoP), les vecteurs de vol de données, les méthodes d’attaque par déni de service (DoS) et les contournements des fonctionnalités de sécurité existantes dans de nombreux produits Microsoft. Parmi les vulnérabilités, deux failles zero-day sont activement exploitées par les attaquants. La première, identifiée comme CVE-2025-59230, est une vulnérabilité d’élévation de privilèges dans le gestionnaire de connexions d’accès à distance Windows et porte un score CVSS (Common Vulnerability Scoring System) de 7,8. Cette faille permet à un attaquant ayant déjà obtenu un premier accès à un système avec de faibles privilèges d’élever son statut à celui d’administrateur. Mike Walters, président et co-fondateur d’Action1, a fourni une analyse du mécanisme de la vulnérabilité. Il a évalué que la faille est liée à la façon dont le service, qui gère le réseau privé virtuel (VPN) et d’autres connexions à distance, traite les commandes des utilisateurs peu privilégiés sans authentification suffisante. « L’exploitation de cette vulnérabilité est relativement simple, la rendant accessible même aux attaquants ayant des compétences techniques modérées », a commenté Walters. Le deuxième jour zéro activement exploité, CVE-2025-24990, est également une vulnérabilité d’élévation de privilèges avec un score CVSS de 7,8. Cette faille réside dans un pilote tiers pour le modem Windows Agere. Ce pilote spécifique est nativement inclus avec toutes les versions prises en charge du système d’exploitation Windows, ce qui rend sa présence généralisée. Un attaquant peut exploiter cette vulnérabilité pour obtenir des privilèges au niveau du système sur un ordinateur affecté. La faille est exploitable même si le matériel du modem Agere n’est pas activement utilisé au moment de l’attaque. En réponse, Microsoft a supprimé le pilote du système d’exploitation via la mise à jour. Cette action signifie que les modems Agere dépendants de ce pilote cesseront de fonctionner sur les systèmes Windows corrigés. Dans son avis à ce sujet, Microsoft a émis une recommandation directe, déclarant que les utilisateurs devraient « supprimer toutes les dépendances existantes sur ce matériel ». La mise à jour contient également d’autres problèmes hautement prioritaires qu’il est conseillé aux équipes de sécurité de résoudre. L’une de ces vulnérabilités est CVE-2025-59287, un bug d’exécution de code à distance dans le service Windows Server Update (WSUS) avec un score CVSS de 9,8. WSUS est le composant utilisé par les organisations pour gérer et distribuer de manière centralisée les mises à jour logicielles et les correctifs aux ordinateurs de leurs réseaux. Walters d’Action1 a identifié ce problème comme étant critique, expliquant qu’un exploit réussi pourrait entraîner de graves conséquences. Ces résultats potentiels incluent « la compromission complète de l’infrastructure de mise à jour des correctifs, le déploiement de « mises à jour » malveillantes sur les systèmes gérés, les mouvements latéraux dans l’environnement et la création de portes dérobées persistantes dans l’infrastructure de mise à jour », a-t-il déclaré. Microsoft a officiellement classé CVE-2025-59287 comme une vulnérabilité que les attaquants sont plus susceptibles d’exploiter. Une autre faille grave corrigée est CVE-2025-55315, un contournement des fonctionnalités de sécurité dans le framework ASP.NET Core, qui a reçu un score CVSS de 9,9. Selon l’évaluation de Microsoft, cette vulnérabilité pourrait avoir un impact important sur la confidentialité, l’intégrité et la disponibilité d’un système. Un exploit réussi donnerait à un attaquant la possibilité d’afficher les informations d’identification de l’utilisateur, de modifier le contenu des fichiers sur le serveur cible ou de précipiter un crash du système. Ben McCarthy, ingénieur principal en cybersécurité chez Immersive, a fourni un contexte supplémentaire sur les conditions d’exploitation. « Il est important de noter que cette vulnérabilité n’est pas exploitable par un attaquant anonyme ; elle nécessite que l’acteur malveillant soit d’abord authentifié avec des informations d’identification d’utilisateur valides et à faible privilège », a déclaré McCarthy dans son commentaire sur la publication du correctif. Ce cycle de mise à jour d’octobre marque également officiellement la fin de vie du système d’exploitation Windows 10. Cela signifie que Microsoft ne fournira plus de correctifs de sécurité réguliers pour les vulnérabilités découvertes dans le système d’exploitation dans le cadre de son programme mensuel de Patch Tuesday. L’arrêt du support affecte une base d’utilisateurs importante, car le système d’exploitation Windows 10 détient actuellement une part d’environ 41 % du marché mondial des versions de bureau de Windows. Pour les organisations qui continuent d’exploiter des systèmes exécutant Windows 10, un chemin spécifique pour une assistance continue est requis. Nick Carroll, responsable de la réponse aux cyberincidents chez Nightwing, a expliqué dans un communiqué que ces entités devront s’inscrire au programme Extended Security Updates (ESU) pour recevoir des correctifs de sécurité au-delà de cette mise à jour finale. Le programme ESU est un service payant qui fournit des correctifs de sécurité pendant une durée limitée après la date officielle de fin de support d’un produit. La fin du support ne s’est pas limitée à Windows 10. Plusieurs autres produits Microsoft ont également atteint cette semaine leur étape de fin de vie. Cette liste comprend Exchange Server 2016, Exchange Server 2019, Skype for Business 2016, Windows 11 IoT Enterprise version 22H2 et Outlook 2016. Ces produits ne recevront plus non plus de mises à jour de sécurité régulières. Carroll a commenté les implications plus larges de cette étape du cycle de vie pour plusieurs produits. « Tous ces produits et bien d’autres ne recevront plus de correctifs de sécurité », a-t-il déclaré, « mais cela ne signifie pas que les acteurs de la menace cesseront de créer de nouveaux exploits pour eux ».
