La CISA alerte sur une vulnérabilité Windows désormais exploitée dans des attaques réelles. La faille, localisée dans le protocole SMB, permet à des acteurs malveillants d’obtenir un contrôle total sur les machines non à jour.
Elle était déjà connue depuis le Patch Tuesday de juin, mais prend aujourd’hui une tout autre dimension. La CISA vient en effet de confirmer que la faille CVE-2025-33073 dans le client SMB de Windows faisait l’objet d’attaques actives. Une alerte qui vise avant tout les appareils qui n’ont pas encore installé la mise à jour publiée par Microsoft cet été. L’agence états-unienne appelle les organisations à réagir sans attendre, tandis que les systèmes vulnérables deviennent une porte d’entrée idéale pour des campagnes plus larges.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un défaut de contrôle d’accès dans SMB
Découverte par plusieurs équipes de recherche, dont CrowdStrike, Synacktiv, RedTeam Pentesting et Google Project Zero, cette faille touche toutes les versions de Windows 10, Windows 11 (jusqu’à 24H2) et Windows Server. Elle provient d’un défaut de contrôle d’accès dans le protocole SMB, utilisé notamment pour le partage de fichiers et d’imprimantes. En forçant une machine à se connecter à un serveur SMB piégé, un attaquant peut détourner le processus d’authentification et obtenir les privilèges SYSTEM, c’est-à-dire un accès complet à l’appareil.
Lors de la diffusion du correctif en juin, Microsoft signalait déjà que des détails techniques sur la vulnérabilité circulaient publiquement, sans preuve d’exploitation à ce moment-là, ce qui n’est officiellement plus le cas aujourd’hui. La CISA n’a pas précisé la nature des attaques ni les groupes impliqués, mais confirme que la faille sert désormais de levier dans des compromissions réelles.
Des systèmes non à jour dans le viseur
Comme souvent, le problème vient moins du patch que de son déploiement. Le correctif a bien été diffusé en juin, mais nombre de postes restent vulnérables faute de mise à jour. Ces systèmes deviennent une cible de choix pour les attaquants, d’autant que les vulnérabilités SMB figurent parmi les plus exploitées dans les campagnes de ransomware et les mouvements latéraux au sein des réseaux d’entreprise.
Microsoft recommande d’activer la signature SMB côté serveur pour réduire les risques d’exploitation sur les environnements qui n’ont pas encore appliqué la mise à jour de juin. La CISA, de son côté, rappelle que ce type de faille reste un point d’entrée privilégié pour les cybercriminels et invite toutes les organisations, publiques comme privées, à vérifier leurs configurations dès maintenant.
Source : CISA
