À l’occasion de son Patch Tuesday de février 2025, Microsoft a corrigé une faille importante dans l’outil de Nettoyage de disque de Windows. Cette vulnérabilité pourrait bien intéresser les cybercriminels à l’avenir. Faisons le point.
CVE-2025-21420 : une faille exploitant le chargement de DLL malveillantes
Au-delà de corriger plusieurs failles de sécurité zero-day, le Patch Tuesday de février 2025 publié par Microsoft corrige une faille de sécurité importante présente dans l’outil de Nettoyage de disque de Windows, correspondant à cleanmgr.exe. Associée à un score CVSS de 7,8 sur 10, cette vulnérabilité pourrait être exploitée par les attaquants pour exécuter du code malveillant avec des privilèges SYSTEM.
Cette vulnérabilité, non exploitée à l’heure actuellement, pourrait le devenir : Microsoft juge probable que ce soit le cas à l’avenir. Elle peut être exploitée par l’intermédiaire d’une technique bien connue nommée DLL sideloading. Cela pourrait permettre à un attaquant de charger une DDL malveillante par l’intermédiaire de cet outil intégré à Windows, ce qui permettrait l’exécution de code.
D’après les informations précisées sur le site Cyber Security News, l’attaquant doit pouvoir déclencher manuellement l’utilitaire, ou miser sur une exécution automatique liée aux seuils d’espace disque définis par l’utilisateur (des fichiers pourraient être créés volontairement par un malware).
Il est à noter qu’un exploit PoC a été publié par un chercheur en sécurité (il est disponible sur GitHub).
La mise à jour de Windows comme solution de protection
Vous l’aurez probablement compris en lisant les premières lignes de cet article, cette vulnérabilité est corrigée par les mises à jour Windows de février 2025 pour Windows 10, Windows 11 et Windows Server. En effet, la CVE-2025-21420 affecte aussi Windows Server puisqu’il intègre ce composant.
Ce Patch Tuesday corrige aussi plusieurs failles zero-day :
CVE-2025-21391 – Élévation de privilèges dans Windows Storage
CVE-2025-21418 – Élévation de privilèges dans un pilote Windows
CVE-2025-21194 – Contournement de sécurité sur Microsoft Surface
CVE-2025-21377 – NTLM : usurpation d’identité et fuite d’informations
En début de semaine, Microsoft a également annoncé avoir corrigé la faille de sécurité CVE-2025-24989 dans son service Power Pages accessible aux utilisateurs de Microsoft 365.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.