La livraison de la mise à jour mensuelle de sécurité de Microsoft est particulièrement chargée pour ce mois d'avril. Avec à la clé, un correctif pour une faille zero day que les administrateurs devront en priorité appliquer. Pour ce mois d'avril, 124 failles ont donc été comblées dont 11 critiques mais aussi un exploit.

Intéressons-nous à la faille zero day, à savoir la CVE-2025-29824 (score CVSS 7,8) relatif au pilote du système de fichiers du journal commun de Windows (CLFS). "Ce bogue d'escalade des privilèges est répertorié comme faisant l'objet d'une attaque active et permet à un acteur de la menace d'exécuter son code avec les privilèges SYSTEM. Ces types d'erreur sont souvent associés à des bogues d'exécution de code pour prendre le contrôle d'un système", indique la Zero Day Initiative. Selon notre confrère CSO, cet exploit a été déployé par un groupe que Microsoft appelle Storm-2460, qui a également été vu en train de diffuser des ransomwares via la porte dérobée PipeMagic. La firme de Redmond n'a pas déterminé comment les terminaux ont été initialement compromis. Mais ce groupe a utilisé l'utilitaire certutil pour vérifier les certificats afin de télécharger un fichier à partir d'un site web tiers légitime qui a été précédemment compromis pour héberger le logiciel malveillant de l'acteur de la menace.

Parmi les autres vulnérabilités corrigées, on retiendra les CVE-2025-26663/CVE-2025-26670 (exécution de code à distance du protocole LDAP de Windows), les CVE-2025-27480/CVE-2025-27482 (exécution de code à distance des services de bureau à distance de Windows), et la CVE-2025-29809 (contournement de la fonctionnalité de sécurité de Windows Kerberos.)