Image de l’auteur/autrice Publié par : charly 27 Oct
Windows : la CISA alerte sur une faille SMB activement exploitée !

Que faut-il savoir sur cette faille en 2025 ?

Le 20 octobre 2025, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte concernant une vulnérabilité critique de type « zero-day » dans le protocole SMB, identifiée sous la référence CVE-2025-33073. Cette faille touche Windows 10, Windows 11 et toutes les versions récentes de Windows Server. Elle permet à un attaquant d’obtenir les privilèges SYSTEM via une connexion SMB malveillante, c’est-à-dire un accès illimité à la machine cible avec la possibilité d’installer des ransomwares, voler des données ou pivoter sur le réseau.

Rappel sur le protocole SMB

Le protocole SMB (Server Message Block) est utilisé dans les environnements Windows pour le partage de fichiers, d’imprimantes et d’autres ressources en réseau. Historique : SMB est déjà connu pour avoir été la cible d’attaques majeures dans le passé, comme WannaCry en 2017, qui exploitait une vulnérabilité SMBv1 pour chiffrer des centaines de milliers de PC dans le monde.

Détail technique de la faille CVE-2025-33073

La faille permet l’élévation de privilèges via une connexion à un serveur SMB contrôlé par l’attaquant. L’attaque s’effectue principalement via des liens ou scripts malveillants, parfois distribués par mail ou par phishing. Les mécanismes d’authentification NTLM sont contournés, ce qui rend la faille particulièrement dangereuse.

Points clés :

  • Score CVSS : 8.8/10 (critique)
  • Impact : droits SYSTEM, prise de contrôle totale
  • Vecteur : connexion réseau SMB manipulée, souvent interne ou via VPN

Exploitation active et raisons de l’alerte

Depuis la mise en lumière de l’exploitation active, la CISA exige une mise à jour rapide des systèmes pour les agences publiques et entreprises américaines avant le 10 novembre 2025. Les exploits sont diffusés sur les forums spécialisés et pourraient prochainement apparaître dans les kits d’attaque de ransomwares, ce qui augmente le risque pour tous les environnements Windows mal protégés.

Conseils avancés pour professionnels IT

  • Vérifier et appliquer le Patch Tuesday de juin 2025 sur toutes les machines.
  • Activer la signature SMB côté client et serveur pour limiter les attaques par rejeu et spoofing.
  • Désactiver les versions obsolètes de SMB (notamment SMBv1) et renforcer NTLM avec les politiques de domaine.
  • Surveiller le trafic réseau SMB pour détecter toute connexion suspecte, surtout depuis l’extérieur ou via VPN.
  • Sensibiliser les utilisateurs à la menace : méfiance vis-à-vis des liens et pièces jointes, particulièrement si le contexte semble inhabituel.
  • Utiliser des solutions EDR pour détecter et bloquer les tentatives d’exploitation.
  • Segmenter les réseaux et appliquer le principe du moindre privilège.

Points de vigilance pour les TPE/PME

  • Les petites structures sont ciblées via les boîtes mail compromises ou l’exploitation de failles réseau internes.
  • Mettre à jour tous les équipements (serveurs et postes), même hors domaine Active Directory.
  • Limiter l’exposition des ports SMB sur Internet grâce à des règles de firewall strictes.
  • Sauvegarder régulièrement toutes les données hors ligne et tester les procédures de restauration.

Autres informations utiles

  • Selon Forbes et TechRadar, Microsoft a confirmé travailler sur un patch complémentaire spécifique destiné aux endpoints où la mise à jour de juin 2025 ne suffit pas.
  • Les CERT européens, dont le CERT-FR, suivent les variantes d’exploitation et publient des guides de mitigation à destination des DSI et responsables cybersécurité.
  • Il existe des outils de scan spécialisés pour détecter les systèmes vulnérables (CrowdStrike, Tenable, Nessus).
  • De grands groupes bancaires et de santé ont déjà rapporté des attaques ciblées depuis fin septembre 2025, surtout via des VPN non patchés et des serveurs de fichiers mal configurés.

Conclusion

La faille SMB CVE-2025-33073 illustre le danger des services réseau exposés et l’importance de maintenir tous les systèmes à jour, de surveiller le trafic et de sensibiliser les utilisateurs. Partage cet article pour alerter tes clients et lecteurs : la sécurité passe toujours par la veille, la correction anticipée et la rigueur dans la configuration réseau !