Vulnérabilité CVE-2025-12036 : Une nouvelle exploitation critique de code à distance JavaScript V8 de Chrome

Analyse

CVE‑2025‑62215 est une vulnérabilité critique de condition de concurrence dans le noyau Windows qui a été corrigée par Microsoft dans sa publication de Patch Tuesday de novembre 2025. La faille permet à un attaquant avec un accès local à faible privilège d’exploiter une condition de “double-libre” dans la mémoire du noyau et d’élever les privilèges au SYSTEM. Parce qu’elle est activement exploitée et affecte toutes les éditions de Windows OS supportées (et ESU pour Windows 10), les organisations courent un risque réel de compromission complète du système.

Enquête

Pour enquêter sur l’exposition à CVE-2025-12036, les équipes de sécurité devraient commencer par cartographier tous les points d’extrémité qui utilisent Chrome ou d’autres navigateurs basés sur Chromium. Il faut inventorier les versions de navigateurs sur Windows, macOS et Linux, et signaler tout système exécutant des versions antérieures à Chrome 141.0.7390.122/.123 comme potentiellement vulnérable. Ensuite, corréler les points d’extrémité non corrigés avec des périodes d’activité de navigation à haut risque, telles que l’accès à des sites web non fiables, des campagnes de phishing récentes ou des domaines suspects de watering-hole. Examiner les télémétries provenant d’outils EDR, les journaux des extensions de navigateur, et les journaux de proxy ou de pare-feu pour détecter des visites à des domaines suspects ou nouvellement enregistrés servant du JavaScript lourd, des plantages de navigateur ou un comportement anormal du bac à sable qui peut indiquer des tentatives d’exploitation, et des chaînes de processus inhabituelles générées à partir du navigateur, y compris des shells de commande ou des moteurs de script. Pour étendre la couverture, utiliser du contenu de détection marqué par CVE et des requêtes de chasse dans le SIEM, EDR et les lacs de données, et aligner les découvertes avec les techniques de MITRE ATT&CK comme Compromission en passant et Exploitation pour l’exécution du client.

Atténuation

Parce que l’exploitation de CVE-2025-12036 est triviale dès qu’un utilisateur tombe sur une page malveillante, le patch doit être traité en urgence. Tous les navigateurs Chrome et basés sur Chromium doivent être mis à jour au moins à Chrome 141.0.7390.122/.123 sur Windows et macOS, et à 141.0.7390.122 sur Linux, avec les mises à jour automatiques activées autant que possible. Les équipes de sécurité devraient vérifier l’état du patch en demandant aux utilisateurs, ou en appliquant via MDM, de visiter Paramètres → À propos de Chrome afin que le navigateur puisse récupérer et appliquer les dernières corrections. Simultanément, renforcer l’utilisation du navigateur en appliquant le principe du moindre privilège sur les points d’extrémité, en utilisant le filtrage URL et des passerelles web sécurisées pour bloquer les domaines malveillants connus ou à haut risque, et en activant des protections telles que l’isolation des sites et des politiques strictes d’extension. Enfin, intégrer CVE-2025-12036 dans la gestion des vulnérabilités afin que tout système nouvellement déployé ou rarement utilisé avec des versions obsolètes de Chrome soit rapidement identifié et remédié.

Réponse

Si vous soupçonnez que CVE-2025-12036 a été exploité dans votre environnement, commencez par isoler les points d’extrémité affectés des réseaux non fiables tout en les gardant accessibles pour l’analyse forensic. Préservez les preuves, y compris les images mémoire pour le navigateur et les processus associés, les journaux systèmes et d’applications (en particulier les rapports de plantage Chrome et l’historique du navigateur), et les captures réseau autour de la fenêtre d’exploitation suspectée. Ensuite, recherchez l’activité post-exploitation : mécanismes de persistance inhabituels tels que de nouvelles tâches planifiées ou services, binaires ou scripts suspects déposés après des sessions de navigation risquées, et signes de vol d’informations d’identification tels que l’accès au magasin de mots de passe, le vidage de jetons, ou des événements d’authentification anormaux. Contenir et éradiquer en supprimant les fichiers malveillants et les artefacts de persistance, et réimager les points d’extrémité à haut risque si nécessaire. Enfin, récupérer et améliorer en tournant les identifiants, en mettant à jour le contenu de détection pour les modèles d’exécution de code à distance du navigateur/V8, et en informant les utilisateurs et les administrateurs sur les risques d’exploitation en passant et sur les pratiques de navigation plus sûres liées à CVE-2025-12036.