CVE-2025-50154

1 minute de lecture

Mis à jour : August 15, 2025

Exploitation Contournant les Correctifs de Sécurité Microsoft pour l’Exfiltration de Hashes NTLM

Une faille de sécurité, identifiée comme CVE-2025-50154, permet de contourner un correctif Microsoft précédent (CVE-2025-24054). Cette nouvelle vulnérabilité autorise l’extraction de hashes NTLM sans intervention de l’utilisateur, même sur des systèmes à jour.

L’exploitation exploite une faiblesse laissée par la mitigation initiale, permettant la génération de requêtes d’authentification NTLM automatiques. Elle repose sur la manipulation de fichiers raccourcis Windows (.LNK) et la manière dont le processus explorer.exe gère la récupération de binaires distants.

Le mécanisme de contournement fonctionne car le correctif initial n’avait pas complètement résolu la manière dont les icônes sont rendues pour les fichiers binaires distants. Bien que les raccourcis basés sur des chemins UNC soient devenus inoffensifs pour le rendu d’icônes, cette mesure n’a pas pris en compte les binaires distants qui embarquent leurs propres données d’icônes. Lorsque Windows Explorer tente d’afficher un raccourci spécialement conçu, il récupère le binaire distant entier pour en extraire l’icône. Cette action déclenche l’authentification NTLM, sans nécessiter de clic de la part de l’utilisateur.

Points Clés :

La vulnérabilité CVE-2025-50154 permet de contourner le correctif CVE-2025-24054.
Elle autorise l’extraction de hashes NTLM sans interaction utilisateur.
Elle affecte les systèmes même après application des correctifs précédents.
L’exploitation utilise des fichiers raccourcis (.LNK) et la gestion des icônes par explorer.exe.

Vulnérabilité :

CVE-2025-50154

Recommandations :

L’article ne fournit pas de recommandations spécifiques dans le passage fourni, mais une approche générale impliquerait :

La mise à jour des systèmes avec des correctifs qui adressent spécifiquement CVE-2025-50154.
L’application de mesures de sécurité réseau pour limiter l’exposition des services d’authentification.
La sensibilisation des utilisateurs aux risques liés à l’ouverture de fichiers raccourcis provenant de sources non fiables.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-50154

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast