Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Exploits and vulnerabilities in Q4 2025

1 minute de lecture

Mis à jour :

Analyse des vulnérabilités et exploits : T4 2025

Le quatrième trimestre 2025 a été marqué par une intensification des menaces, caractérisée par une exploitation rapide des failles critiques dès leur publication. Les attaquants se concentrent particulièrement sur l’accès initial via des outils bureautiques et des utilitaires d’archivage, tout en utilisant des frameworks de commande et contrôle (C2) pour leurs déplacements latéraux.

Points clés

  • Linux sous pression : Le nombre d’utilisateurs Linux impactés par des exploits a doublé au T4, porté par la prolifération des appareils grand public sous cet OS.
  • Réactivité des attaquants : Les APT privilégient les vulnérabilités très récentes (moins de 6 mois) pour lesquelles les correctifs structurels sont complexes à déployer.
  • Frameworks C2 : Sliver, Mythic et Havoc restent les outils de prédilection pour piloter les attaques.
  • Fraude à l’exploit : Une recrudescence de faux outils de “Preuve de Concept” (PoC), générés par IA, a été observée pour piéger les chercheurs en sécurité lors de la découverte de failles majeures comme RediShell.

Vulnérabilités majeures (CVE)

  • Bureautique/Système : CVE-2018-0802, CVE-2017-11882, CVE-2017-0199 (Microsoft Office), CVE-2023-36884 (Windows Search).
  • Archivage : CVE-2023-38831, CVE-2025-6218, CVE-2025-8088 (WinRAR), CVE-2025-11001 (7-Zip).
  • Linux (Escalade de privilèges) : CVE-2022-0847 (Dirty Pipe), CVE-2019-13272, CVE-2021-22555, CVE-2023-32233.
  • Critiques et Web :
    • CVE-2025-55182 (React2Shell) : Exécution de code à distance sur serveur.
    • CVE-2025-49844 (RediShell) : Use-after-free dans Redis.
    • CVE-2025-59287 (WSUS) : Désérialisation non sécurisée permettant l’exécution de code sans authentification.
    • CVE-2025-24990 : Pilote obsolète (ltmdm64.sys) permettant l’exécution arbitraire de commandes.

Recommandations

  • Patching rigoureux : Prioriser l’application des correctifs de sécurité, particulièrement pour les services réseau exposés sans authentification.
  • Automatisation : Mettre en place des systèmes de gestion des correctifs automatisés pour réduire le délai d’exposition.
  • Surveillance proactive : Assurer un suivi continu du périmètre réseau pour identifier les tentatives d’intrusion dès le stade de l’accès initial.
  • Sécurisation des postes : Déployer des solutions de type EDR/XDR capables de bloquer l’exécution de code malveillant provenant d’archives ou d’outils tiers légitimes détournés.
  • Hygiène logicielle : Supprimer les pilotes, logiciels et composants obsolètes ou non supportés des infrastructures.

Source

Vous pourriez aimer