À l’occasion de la mise à jour mensuelle de Microsoft, Tenable signale la correction de sept vulnérabilités zero-day pour le mois de mai 2025. Parmi elles, cinq ont été exploitées activement, tandis que deux autres avaient été divulguées publiquement avant la mise à disposition de correctifs. Dans son analyse, le spécialiste de la gestion des vulnérabilités met en lumière une tendance préoccupante : quatre des sept failles critiques relèvent de l’élévation de privilèges, un type d’attaque souvent utilisé lors de compromissions avancées.
« Ce mois-ci, la majorité des vulnérabilités critiques corrigées par Microsoft sont des failles d’élévation de privilèges, souvent associées à des activités malveillantes post-compromission », alerte Satnam Narang, Senior Staff Research Engineer chez Tenable.
Une vulnérabilité complexe mais bel et bien exploitée
Parmi les failles signalées figure CVE-2025-30397, une erreur de corruption de mémoire dans le moteur de script. Pour être exploitée, cette faille impose plusieurs conditions : l’usage de Microsoft Edge en mode Internet Explorer, une configuration rare aujourd’hui, notamment en raison de sa faible part de marché (5 %). À cela s’ajoute la nécessité d’une authentification client et d’un clic sur un lien piégé.
Malgré ces barrières, Tenable confirme une exploitation active. Ce cas rappelle celui de CVE-2024-38178, observé en août 2024 par le NCSC coréen, bien que les liens éventuels entre les deux incidents ne soient pas établis.
DWM, CLFS et afd.sys : des composants Windows sous tension
CVE-2025-30400, autre faille critique, touche la bibliothèque Desktop Window Manager (DWM). Depuis 2022, Microsoft a corrigé 26 failles d’élévation de privilèges dans ce composant, dont cinq rien qu’en avril dernier. Avant celle-ci, seules deux avaient été exploitées comme zero-days, en 2023 et 2024.
Deux autres vulnérabilités, CVE-2025-32701 et CVE-2025-32706, affectent le pilote Common Log File System (CLFS). Tenable rappelle que ce type de faille est régulièrement ciblé par des acteurs malveillants. En avril 2025, Storm-2460 a utilisé CVE-2025-29824 pour déployer le malware PipeMagic dans des campagnes de ransomware. Les deux nouvelles failles font, selon l’analyse, probablement partie d’activités post-compromission, qu’il s’agisse d’espionnage ou d’opérations à but financier.
Tenable souligne que 33 vulnérabilités ont été recensées dans CLFS depuis 2022, dont 28 liées à l’élévation de privilèges, avec six zero-days exploitées dans la nature.
Enfin, la vulnérabilité CVE-2025-32709 concerne le pilote afd.sys, utilisé pour gérer les connexions réseau via l’API Windows Sockets. C’est la dixième faille d’élévation de privilèges dans ce composant depuis 2022, la seconde exploitée cette année.
