CVE-2025-26633

Attaque “MSC EvilTwin” exploitant une vulnérabilité MMC

Une faille de contournement de sécurité, identifiée comme CVE-2025-26633, affecte la console de gestion Microsoft (MMC). Elle résulte d’une neutralisation incorrecte des entrées, permettant à un attaquant local d’outrepasser les protections.

Cette vulnérabilité est activement exploitée par un groupe de menaces dénommé Water Gamayun (également connu sous les noms d’EncryptHub et Larva-208) dans le cadre d’une campagne baptisée “MSC EvilTwin”. La technique employée consiste à exécuter des fichiers .msc malveillants en se substituant à des fichiers légitimes. Ceci est rendu possible par la manipulation du chemin de l’interface utilisateur multilingue (MUIPath), forçant ainsi le chargement et l’exécution d’un fichier nuisible à la place de celui prévu.

Points clés :

• Vulnérabilité : CVE-2025-26633, contournement de fonctionnalité de sécurité dans MMC.
• Cause : Mauvaise neutralisation des entrées.
• Impact : Permet à un attaquant local de contourner les restrictions de sécurité.
• Acteur de la menace : Water Gamayun (EncryptHub, Larva-208).
• Campagne : “MSC EvilTwin”.
• Méthode d’exploitation : Exécution de fichiers .msc malveillants via la manipulation du MUIPath.

Recommandations :

Bien que l’article ne détaille pas les recommandations spécifiques, les mesures générales pour pallier ce type de vulnérabilité incluent :

• Mettre à jour le logiciel Microsoft et les composants MMC.
• Appliquer les correctifs de sécurité dès leur disponibilité.
• Restreindre les privilèges des utilisateurs locaux pour limiter les risques d’exécution de code malveillant.
• Surveiller les activités suspectes liées à l’exécution de fichiers .msc.

Source