CVE-2025-33073 : Tu te souviens de WannaCry ? Bien. Parce que visiblement, Microsoft aussi. Du coup, en juin 2025, pour fêter le Patch Tuesday, ils ont décidé de nous offrir un petit bijou de vulnérabilité comme on les aime : CVE-2025-33073. Une faille dans le client SMB de Windows, qui permet à un attaquant… sans authentification (oui, t’as bien lu) de prendre le contrôle total d’une machine cliente, simplement parce qu’elle ose parler à un serveur SMB malicieux. 🎉
📅 Le timing parfait (ou l’art de publier une bombe avant l’été)
La faille est publiée le 11 juin 2025, un mardi. Et Microsoft indique sobrement qu’il faut « appliquer le correctif dès que possible ». Traduction : tu as une fenêtre de 48 à 72 heures avant que les exploits ne se retrouvent :
- sur GitHub
- dans Metasploit
- sur TikTok (car oui, il y a maintenant des tutos pentest en playback Beyoncé)
Les PoC commencent déjà à fuiter sur Twitter (pardon, X) le 12 juin à midi, accompagnés de gifs explicites genre :
« How to p0wn an entire fleet of Windows 11 laptops from a Raspberry Pi. »
Le CISA, toujours aussi efficace, balance une alerte 24h plus tard avec un ton rassurant :
« Apply mitigation or risk total compromise. Yes, it’s that bad. »
🧨 Concrètement, c’est quoi cette faille ?
Une vulnérabilité dans la manière dont le client SMB gère les réponses du serveur. Spoiler : il ne les gère pas très bien. Il suffit qu’une machine cliente Windows se connecte (ou soit forcée à se connecter, via un lien piégé ou une redirection DNS) à un serveur SMB piégé (genre //evil-server.local) pour que l’exploit s’exécute. Et là, magie : exécution de code à distance, avec les droits de l’utilisateur courant (souvent un utilisateur admin, parce que… entreprise).
Et cerise sur le gâteau : la faille est exploitée avant authentification, donc même pas besoin d’un mot de passe. Juste une interaction réseau. Merci SMBv3 !
🏢 Impact côté entreprise : chronologie d’un drame
Jour 0 (Patch Tuesday)
- Le RSSI lit le résumé Microsoft. Il fronce les sourcils. Il note “À surveiller.”
Jour 1
- Le PoC est public. La cellule cyber commence à paniquer.
- Le RSSI envoie un mail : “URGENT – Veuillez patcher tous les postes Windows dans la semaine.”
Jour 2
- L’IT : “On peut pas, on a une montée de version SAP.”
- Le directeur métier : “Pas maintenant, on a des audits qualité.”
- Le RSSI : “Bon… ok, alors on désactive temporairement SMBv1.” (Spoiler : la faille est dans SMBv3)
Jour 4
- Un pentester sympa simule l’attaque pendant un audit Red Team. Il prend le contrôle du laptop du DG en 3 minutes. Rires jaunes.
- Le DG : “Mais pourquoi personne n’a rien fait ?”
- L’admin : “On a pas eu le ticket Jira.”
Jour 7
- Un vrai attaquant arrive. Il chiffre tout. Il demande 80 BTC. L’équipe communication active le PRA. Traduction : elle coupe le WiFi.
🧠 Et si on arrêtait de faire n’importe quoi ?
✅ Leçons (que personne n’apprendra)
- Appliquer les patchs dès publication ? Oui. Mais pour ça, il faut :
- Une gouvernance SSI
- Une équipe IT formée
- Un SI cartographié
- Des procédures de test de patch automatisées
- Et peut-être aussi… un budget cyber, tiens.
- Filtrage SMB sortant : une machine utilisateur n’a aucune raison valable de discuter SMB avec Internet. Si c’est possible chez toi : appelle vite quelqu’un.
- Surveillance DNS & proxy : tu veux savoir qui tente de joindre
\\192.168.42.66en SMB ? Active les logs. Tu pourrais apprendre des choses… - Zéro trust, segmentations, durcissement des clients… Mais tout ça, c’est pour les entreprises qui n’attendent pas d’être par terre pour faire de la SSI.
📄 Détails officiels
📌 Bulletin Microsoft – Patch Tuesday (10 juin 2025)
Microsoft a publié son bulletin le jour même, en décrivant la faille ainsi :
“CVE‑2025‑33073: Windows SMB Client Elevation of Privilege Vulnerability. Base Score 8.8 (High). Successful exploitation requires an attacker to execute a crafted script to force a target device to connect to an attacker-controlled machine using SMB credentials. If successful, the attacker could elevate their privileges to SYSTEM.”
→ Lien vers le bulletin officiel Microsoft
🇺🇸 Avis CISA (au 12 juin 2025)
La CISA n’a pas encore classé cette vulnérabilité dans son catalogue des vulnérabilités activement exploitées, mais elle donne déjà un avertissement prudent :
“An SMB Client vulnerability, CVE‑2025‑33073 has been publicly disclosed but has not seen active exploitation… Microsoft has reported this vulnerability as ‘Exploitation Less Likely’.”
→ Lien vers la CISA – KEV Catalog
Bon, on connaît la chanson : « less likely » un mardi… et massivement exploité le vendredi.
⏳ Aspects temporels à retenir
- 10 juin 2025 : Patch disponible – bulletin publié par Microsoft.
- 11 juin 2025 : Premiers PoC évoqués sur Twitter/X, vidéos en préparation.
- 12 juin 2025 (midi) : PoC opérationnel circulant sur des forums GitHub et Discord.
- 13 juin 2025 (prévisible) : Inclusion dans Metasploit et diffusion par botnet.
- 14 juin 2025 (samedi) : Les entreprises qui n’ont pas patché reçoivent des ransom notes dans la boîte mail de la DAF.
📢 Rappel : ce que dit Microsoft, ce que vous allez faire, et ce qui va se passer
- Microsoft recommande le déploiement immédiat du correctif.
- CISA souligne le risque même sans preuve d’exploitation active.
- Toi, entreprise lambda, tu vas :
- programmer un comité exceptionnel lundi prochain,
- attendre le GO du directeur métier,
- et espérer que ton proxy bloque le trafic SMB sortant (spoiler : non).
🧹 En résumé
Une faille client SMB, sans authentification, qui exécute du code à distance, publiée juste avant l’été ?
C’est un peu comme offrir un cocktail molotov à un ado pyromane sur un parking de supermarché : ça va mal finir.
Alors patchez. Filtrez. Formez. Et surtout, arrêtez de dire “On verra à la rentrée.”
Parce que les ransomware, eux, ne prennent jamais de vacances.
