Windows 11 : deux failles critiques corrigées en urgence, et quelques bonus bienvenus dans le Patch Tuesday de juin

Une vulnérabilité activement exploitée par un groupe APT, une autre qui se balade déjà dans la nature, et, au passage, quelques améliorations bienvenues côté ergonomie. En ce mois de juin, Microsoft livre un Patch Tuesday dense, technique, et à ne surtout pas négliger.

Chaque deuxième mardi du mois, c’est la Windows routine. Microsoft a déployé ce mardi 10 juin son traditionnel Patch Tuesday pour corriger 66 vulnérabilités, dont une dizaine jugées critiques, et deux déjà connues avant la diffusion du correctif. Autrement dit, le genre de patch que vous ne laissez pas traîner dans Windows Update, d’autant qu’il s’accompagne de plusieurs nouveautés et améliorations système bienvenues.

WebDAV et SMB : des scénarios d’exploitation ciblée critiques

Première urgence : une faille dans WebDAV (CVE-2025-33053, CVSS 8.8) qui permettait à un attaquant de prendre le contrôle d’une machine à distance via une URL piégée. Identifiée par Check Point Research, la vulnérabilité avait déjà été exploitée en mars dernier par le groupe APT Stealth Falcon, dans une tentative d’attaque contre une entreprise de défense turque. En manipulant le répertoire de travail d’un outil Windows légitime, les attaquants pouvaient exécuter du code hébergé sur leur propre serveur WebDAV, déclenché par un clic sur le lien malveillant.

Deuxième sujet d’inquiétude : une élévation de privilèges dans le client SMB (CVE-2025-33073, CVSS 8.8). Là encore, la faille était connue avant l’arrivée du correctif, mais a priori non exploitée. Elle permettait à un acteur malveillant de forcer une machine Windows à initier une connexion SMB vers un serveur piégé, puis à s’y authentifier automatiquement. En abusant de cette authentification et d’un défaut de contrôle d’accès dans le client SMB, l’attaquant pouvait ainsi obtenir les privilèges SYSTEM du PC compromis. La vulnérabilité a été rapportée par plusieurs équipes de recherche, dont CrowdStrike, Synacktiv, RedTeam Pentesting et Project Zero. En attendant que la mise à jour soit appliquée partout, Microsoft recommande d’activer la signature SMB côté serveur pour limiter les risques.

En marge de ces deux cas très problématiques, le Patch Tuesday de juin comprend aussi son lot habituel de correctifs, couvrant notamment Word, Excel, Outlook, SharePoint, Schannel, LSASS, DHCP… Au total, 66 vulnérabilités ont donc été corrigées, dont dix critiques, y compris les deux zero-day évoquées plus haut. On compte vingt-cinq exécutions de code à distance, treize élévations de privilèges, dix-sept fuites d’information, six attaques par déni de service, trois contournements de fonctionnalités de sécurité et deux vulnérabilités de type spoofing.

Entre deux failles, quelques retouches bienvenues

Pour les utilisateurs et utilisatrices de Windows 11, cette salve de correctifs s’accompagne aussi de plusieurs nouveautés fonctionnelles.

Sur les versions 23H2 et 24H2, Microsoft étend la durée de vie des points de restauration système à 60 jours, améliore l’accessibilité avec des descriptions d’images générées par IA pour le Narrateur sur les PC Copilot+, et revoit les options de gestion du HDR (libellé plus clair pour les contenus concernés, possibilité d’activer ou désactiver Dolby Vision indépendamment, et prise en charge du streaming HDR même si HDR est désactivé).

Microsoft en profite aussi pour resserrer un peu plus les liens entre PC et mobile avec la fonction « Cross device resume ». Elle permet de reprendre automatiquement sur PC l’édition d’un document OneDrive consulté sur Android ou iOS, exactement là où vous vous étiez arrêté, à condition qu’il ait été ouvert sur mobile dans les cinq minutes précédant sa reprise sur Windows.

Côté IT, les administrateurs et administratrices peuvent désormais forcer le mode Économie d’énergie via les stratégies de groupe, et empêcher le réépinglage automatique d’applications sur la barre des tâches après une mise à jour de politique système.

Enfin, la recherche Windows s’enrichit progressivement dans l’Union européenne. Sur les PC Copilot+ équipés de puces Snapdragon, il est à présent possible de retrouver des photos stockées dans le cloud à partir de simples descriptions, sans avoir à saisir le nom exact du fichier. La fonction prend aussi en compte le contenu textuel des fichiers en ligne pour proposer des résultats plus complets. Le déploiement sur les machines Intel et AMD est prévu dans un second temps.

Sources : Microsoft [1], Microsoft [2]