CVE-2025-60710 : élévation de privilèges via link following dans Windows taskhost. CVSS 7.8, exploitation active, ajouté au catalogue KEV du CISA le 13 avril 2026.
TL;DR — En résumé
CVE-2025-60710 permet une élévation de privilèges SYSTEM sur Windows 11 et Server 2025. Exploitation active confirmée, deadline CISA : 27 avril 2026.
En bref
- CVE-2025-60710 (CVSS 7.8) : élévation de privilèges via link following dans le Host Process for Windows Tasks (taskhost), exploitation active confirmée
- Systèmes affectés : Windows 11 24H2, Windows 11 25H2, Windows Server 2025 (y compris Server Core)
- Action urgente : appliquer les KB de sécurité Microsoft, restreindre les droits administrateurs locaux, date limite CISA fixée au 27 avril 2026
Les faits
CVE-2025-60710, évaluée à 7.8 sur l'échelle CVSS v3.1, est une vulnérabilité d'élévation de privilèges affectant le composant Host Process for Windows Tasks (taskhost.exe) de Microsoft Windows. La faille est classée CWE-59 (Improper Link Resolution Before File Access) : le processus hôte suit des liens symboliques sans validation adéquate, permettant à un attaquant disposant d'un accès local authentifié de rediriger des opérations de fichiers vers des emplacements privilégiés. L'exploitation ne nécessite aucune interaction utilisateur et présente une complexité d'attaque basse, avec un impact total sur la confidentialité, l'intégrité et la disponibilité du système cible.
Le 13 avril 2026, le CISA a ajouté cette CVE à son catalogue KEV (Known Exploited Vulnerabilities) dans un lot de sept vulnérabilités activement exploitées, aux côtés de failles touchant Microsoft Exchange Server, Adobe et Fortinet. La date limite de remédiation pour les agences fédérales américaines est fixée au 27 avril 2026, soulignant l'urgence de l'application des correctifs. Microsoft a publié les correctifs dans les mises à jour de sécurité décembre 2025, mais l'ajout récent au catalogue KEV indique que de nombreuses organisations n'ont toujours pas appliqué ces patchs et que des acteurs malveillants exploitent activement cette fenêtre d'exposition.
Impact et exposition
Cette vulnérabilité est particulièrement dangereuse dans les scénarios de post-exploitation. Un attaquant ayant obtenu un premier accès à une machine Windows — via phishing, exploitation d'une autre faille ou compromission d'un compte utilisateur — peut exploiter CVE-2025-60710 pour escalader ses privilèges jusqu'au niveau SYSTEM. Cela lui confère un contrôle total sur la machine : désactivation des protections de sécurité, extraction de credentials, mouvement latéral dans le réseau et persistance. Les organisations utilisant Windows 11 24H2 ou 25H2 en environnement entreprise sont les plus exposées, de même que les infrastructures Windows Server 2025 récemment déployées. Le fait que la faille soit combinable avec d'autres vulnérabilités de la même vague KEV (notamment des failles Exchange et Adobe) amplifie considérablement le risque dans les environnements où plusieurs composants non patchés coexistent.
Recommandations immédiates
- Appliquer immédiatement les correctifs Microsoft : KB5072033 pour Windows 11 24H2 et Server 2025, KB5068861 pour Windows 11 25H2
- Vérifier le déploiement effectif des mises à jour via WSUS, SCCM ou votre solution de gestion de parc
- Restreindre les droits d'administration locale au strict nécessaire selon le principe du moindre privilège
- Durcir les permissions en écriture sur les répertoires de travail des processus système, notamment ceux liés à taskhost
- Surveiller les événements de création de liens symboliques inhabituels dans les journaux de sécurité Windows (Event ID 4663, 4656)
- Si le patch ne peut pas être appliqué immédiatement, déployer des règles de détection EDR ciblant la création de symlinks dans les répertoires système
⚠️ Urgence
Exploitation active confirmée — le CISA impose une remédiation avant le 27 avril 2026. Cette faille est utilisée en chaîne d'exploitation avec d'autres vulnérabilités pour obtenir un accès SYSTEM complet. Priorisez le déploiement des KB de sécurité sur l'ensemble de votre parc Windows 11 et Server 2025.
Comment savoir si je suis vulnérable ?
Vérifiez la version de votre système avec winver : si vous êtes sous Windows 11 24H2, 25H2 ou Windows Server 2025, vous êtes potentiellement affecté. Contrôlez l'installation des KB correctifs via PowerShell : Get-HotFix | Where-Object {$_.HotFixID -match "KB5072033|KB5068861"}. Si aucun de ces KB n'apparaît, votre système est vulnérable. Vous pouvez également utiliser Microsoft Defender Vulnerability Management ou votre scanner de vulnérabilités pour identifier les machines non patchées.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Articles connexes :
Pour approfondir
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8 urgent
CVE-2026-25089 est une injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox (CVSS 9.8 Critical). Sans credentials, un attaquant exécute du code en root. Patch FortiSandbox 5.0.6 et 4.4.9 disponible — juillet 2026.
CVE-2026-45659 : SharePoint RCE CVSS 8.8 Storm-2603 actif
CVE-2026-45659, deserialisation RCE dans SharePoint Server on-premises (CVSS 8.8), est activement exploitee par Storm-2603 pour deployer le ransomware Warlock. CISA KEV depuis le 1er juillet 2026. Patch critique disponible depuis mai 2026.
Patch Tuesday Juillet 2026 : CVE-2025-47981 NEGOEX CVSS 9.8
Le Patch Tuesday du 14 juillet 2026 publie 127 correctifs dont CVE-2025-47981, une faille wormable CVSS 9.8 dans le mecanisme NEGOEX/SPNEGO de Windows — priorite absolue pour tous les systemes Windows depuis Server 2008.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire