Microsoft a publié hier des mises à jour de sécurité pour Windows et révélé aujourd’hui qu’elles corrigent une faille grave, déjà utilisée par des pirates. Baptisée CVE-2025-29824, cette vulnérabilité touche le pilote du système de fichiers de journaux (CLFS) et permet à un attaquant d’obtenir des privilèges élevés sur l’ordinateur sans aucune action de l’utilisateur.
La faille affecte la plupart des versions de Windows encore supportées, comme Windows 10, Windows 11 et Windows Server 2025. La bonne nouvelle est que les utilisateurs de Windows 11 version 24H2 ne sont pas touchés. Microsoft a repéré des attaques limitées, visant notamment des entreprises informatiques et immobilières aux États-Unis, le secteur financier au Venezuela, une société de logiciels en Espagne et des commerces en Arabie saoudite.
Le groupe de ransomware RansomEXX (aussi appelé Storm-2460) est derrière ces attaques. Voici leur méthode :
- Ils utilisent l’outil certutil de Windows pour télécharger un fichier malveillant depuis un site légitime mais piraté.
- Ce fichier, un script MSBuild infecté, déploie un malware nommé PipeMagic.
- Une fois actif, ce malware exploite la faille pour s’infiltrer dans les processus système, voler des identifiants via la mémoire LSASS, puis chiffrer les fichiers avec des extensions aléatoires.
Installer la mise à jour de sécurité est le meilleur moyen de bloquer ces attaques. Sur Windows 11, allez dans Paramètres > Windows Update, téléchargez la mise à jour et redémarrez votre PC. Pour Windows 10, c’est plus compliqué : Microsoft retarde la sortie du correctif sans expliquer pourquoi. Si vous utilisez ce système, surveillez les annonces sur le site officiel de Microsoft (MSRC) pour savoir quand il sera disponible.
Ce retard pour Windows 10 laisse certains ordinateurs vulnérables plus longtemps, ce qui préoccupe les utilisateurs et administrateurs. En attendant, prudence avec les fichiers ou liens suspects, car cette attaque ne nécessite aucune interaction pour réussir.
