Publié le 24 octobre 2025. Une faille de sécurité critique sur le protocole SMB de Windows, déjà corrigée par Microsoft en juin dernier, est désormais activement exploitée par des cybercriminels. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté cette vulnérabilité, baptisée CVE-2025-33073, à sa liste des menaces connues, alertant sur son utilisation dans des campagnes de cyberespionnage.
La CISA a inclus CVE-2025-33073 dans son catalogue des vulnérabilités exploitées connues, un signal fort d’une menace réelle et avérée. Cette inclusion signifie que des informations crédibles indiquent que des acteurs malveillants utilisent cette faille dans le monde réel.
Une faille ouvrant la porte aux privilèges SYSTEM
La vulnérabilité CVE-2025-33073 concerne le protocole Server Message Block (SMB) utilisé par les systèmes Windows. Elle permet une élévation de privilèges, un scénario où un attaquant parvient à obtenir des droits d’accès supérieurs à ceux initialement possédés. Dans le cas présent, cette faille pourrait permettre à un pirate d’accéder au niveau de privilège le plus élevé, le statut SYSTEM, sur une machine Windows ou Windows Server vulnérable.
Microsoft explique le mécanisme d’exploitation : « Pour exploiter cette vulnérabilité, un attaquant pourrait exécuter un script malveillant spécialement conçu pour contraindre la machine victime à se reconnecter au système d’attaque à l’aide de SMB et à s’authentifier », indique l’éditeur. « Lors de la connexion, le serveur malveillant pourrait compromettre le protocole. » Une autre méthode d’attaque consisterait à inciter un utilisateur à exécuter volontairement ce script.
Lors de la publication du correctif en juin 2025, Microsoft avait initialement déclaré que la vulnérabilité avait été divulguée publiquement mais n’était pas exploitée de manière active. Cependant, la confirmation par la CISA vient contredire cette évaluation, soulignant une évolution rapide de la menace.
À l’époque de la correction, plusieurs chercheurs en sécurité avaient été crédités pour leur rôle dans la découverte de la faille : Keisuke Hirata (CrowdStrike), Wilfried Bécard (Synacktiv), Cameron Stish (GuidePoint Security), Ahamada M’Bamba (BNP Paribas), Stefan Walter et Daniel Isern (SySS GmbH), RedTeam Pentesting GmbH, et James Forshaw (Google Project Zero). Certains d’entre eux ont depuis partagé des détails techniques approfondis.
« Elle contourne les atténuations de réflexion NTLM et permet à un attaquant distant authentifié d’exécuter des commandes arbitraires en tant que SYSTEM sur n’importe quelle machine qui n’applique pas la signature SMB ».
Wilfried Bécard et Guillaume André, chercheurs en sécurité
Ces chercheurs ont notamment précisé que CVE-2025-33073 représentait en réalité une faille d’exécution de commande à distance authentifiée, et non une simple élévation de privilèges comme initialement catégorisé par Microsoft. Des preuves de concept exploitant cette faille ont également été publiées par d’autres experts.
Cinq nouvelles vulnérabilités sous surveillance
Au-delà de CVE-2025-33073, la CISA a ajouté quatre autres vulnérabilités à son catalogue, demandant aux agences fédérales américaines du pouvoir exécutif civil (FCEB) de les corriger d’ici le 10 novembre 2025. Bien que les détails des attaques spécifiques ne soient pas toujours communiqués, la présence dans ce catalogue alerte sur un risque élevé.
Les autres vulnérabilités identifiées sont les suivantes :
- Une faille ancienne affectant les systèmes d’exploitation iOS et macOS d’Apple (CVE-2022-48503).
- Une vulnérabilité de type Server-Side Request Forgery (SSRF) récemment corrigée dans Oracle E-Business Suite (CVE-2025-61884), potentiellement impliquée dans de récentes attaques par le groupe Cl0p.
- Deux failles de contournement d’authentification dans Kentico Xperience Staging Sync Server (CVE-2025-2746 et CVE-2025-2747), découvertes par les chercheurs de watchTowr.