Deux failles déjà connues du public figurent parmi les vulnérabilités corrigées ce mois-ci, dont l’une dans SMB et l’autre dans SQL Server. D’autres composants sensibles sont également concernés, comme NTLM ou Hyper-V.
- Microsoft a corrigé 81 failles de sécurité dans ses produits, dont deux vulnérabilités zero-day connues.
- La faille SMB (CVE-2025-55234) permet des attaques par relais, nécessitant une attention particulière sur la configuration.
- SQL Server est affecté par une vulnérabilité dans Newtonsoft.Json (CVE-2024-21907) qui a été enfin corrigée après un an.
À peine rentrée de vacances, l’équipe sécurité de Microsoft n’a pas chômé. Avec 81 failles corrigées dans les produits Windows, Office, Azure, SQL Server et consorts, le Patch Tuesday de septembre signe un retour en fanfare, porté par deux failles zero-day publiquement connues et une salve de vulnérabilités critiques. De quoi occuper les administrateurs et administratrices pendant quelques jours.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Deux failles zero-days sous surveillance, et quelques critiques à ne pas négliger
Les deux vulnérabilités les plus sensibles ce mois-ci étaient déjà connues avant la publication des correctifs. La première, identifiée sous le nom CVE-2025-55234, affecte le serveur SMB sous Windows 11 et peut permettre des attaques par relais menant à une élévation de privilèges, selon la configuration. Microsoft recommande d’activer la signature SMB et la protection étendue (EPA), mais alerte sur d’éventuels conflits avec des équipements ou clients plus anciens. Pour limiter la casse, le système permet désormais d’auditer la compatibilité de l’environnement avant d’imposer ces options. Les journaux d’audit SMB côté serveur permettent ainsi de repérer les connexions problématiques.
La seconde faille, CVE-2024-21907, affecte la bibliothèque Newtonsoft.Json dans ses versions antérieures à 13.0.1, intégrées à certaines versions de SQL Server. En jouant sur un cas de désérialisation mal géré, un attaquant pourrait provoquer un StackOverflow et un déni de service, sans authentification préalable. Le correctif est inclus dans les mises à jour cumulatives SQL Server publiées en parallèle.
À côté de ces deux cas sensibles s’ajoutent plusieurs failles critiques, comme celle affectant NTLM, qui permet à un attaquant authentifié d’élever ses privilèges jusqu’au niveau SYSTEM via une simple connexion réseau. Le Graphics Kernel est aussi touché par plusieurs vulnérabilités exploitables localement, dont certaines via des fichiers piégés. Une faille dans Hyper-V pourrait permettre à un invité malveillant de s’échapper de sa machine virtuelle, et une autre dans Microsoft Office ouvre la voie à une exécution de code sans interaction utilisateur, depuis le volet de prévisualisation.
Petit détail qui ne vous aura peut-être pas échappé
Si vous êtes attentif ou attentive aux numéros de CVE, vous aurez remarqué que CVE-2024-21907 semble avoir un an de retard sur les autres. Ce n’est pas une coquille. La faille a bien été rendue publique en 2024, mais le correctif publié à l’époque ne concernait que la bibliothèque Newtonsoft.Json elle-même.
Problème, cette bibliothèque est intégrée dans de nombreux produits, dont SQL Server. Et tant que les développeurs de ces produits n’en mettent pas à jour la version embarquée, la faille subsiste. C’est exactement ce qui s’est passé ici, Microsoft n’a corrigé la vulnérabilité dans SQL Server que maintenant, en l’intégrant dans ses mises à jour cumulatives de septembre. Un exemple classique du décalage entre correctif amont et déploiement effectif côté utilisateur.
Recommandations pour les admins
Pour les environnements Active Directory et les serveurs de fichiers, priorité doit être donnée à la vérification des paramètres SMB. L’activation de la signature et de l’EPA renforce la sécurité, mais peut casser certaines compatibilités. Un audit est donc recommandé avant de les imposer par stratégie de groupe. Côté PowerShell, les commandes suivantes permettent de faire un état des lieux rapide :
Get-SmbServerConfiguration | Select RequireSecuritySignature, AuditClientDoesNotSupportSigning, AuditClientSpnSupport
Get-SmbClientConfiguration | Select RequireSecuritySignature
Ces paramètres permettent de vérifier si la signature est déjà imposée, et d’activer l’audit pour repérer les clients qui ne supporteraient pas les protections avancées.
Pour SQL Server, Microsoft recommande de s’assurer que les versions installées intègrent bien la version corrigée de Newtonsoft.Json. La commande SELECT @@VERSION; permet de contrôler la version active, à croiser avec les notes de version publiées.
Du côté d’Office, les protections classiques doivent être maintenues le temps que les correctifs soient déployés à grande échelle : macros désactivées par défaut, documents ouverts en mode protégé, et filtrage des fichiers provenant d’Internet.
Enfin, les rôles réseau peu utilisés comme RRAS méritent un audit particulier. Deux failles d’exécution de code et plusieurs fuites d’informations y ont été corrigées. Si le service n’est pas indispensable, mieux vaut le désactiver. Idem pour les usages de NTLM encore présents, pour lesquels Microsoft a corrigé une faille critique qui pourrait justifier un effort de migration vers Kerberos ou d’isolement des flux hérités.
Sources : Microsoft, Crowdstrike
