CVE-2025-60710 : élévation de privilèges Windows (KEV)

Les faits

CVE-2025-60710, évaluée à 7.8 sur l'échelle CVSS v3.1, est une vulnérabilité d'élévation de privilèges affectant le composant Host Process for Windows Tasks (taskhost.exe) de Microsoft Windows. La faille est classée CWE-59 (Improper Link Resolution Before File Access) : le processus hôte suit des liens symboliques sans validation adéquate, permettant à un attaquant disposant d'un accès local authentifié de rediriger des opérations de fichiers vers des emplacements privilégiés. L'exploitation ne nécessite aucune interaction utilisateur et présente une complexité d'attaque basse, avec un impact total sur la confidentialité, l'intégrité et la disponibilité du système cible.

Le 13 avril 2026, le CISA a ajouté cette CVE à son catalogue KEV (Known Exploited Vulnerabilities) dans un lot de sept vulnérabilités activement exploitées, aux côtés de failles touchant Microsoft Exchange Server, Adobe et Fortinet. La date limite de remédiation pour les agences fédérales américaines est fixée au 27 avril 2026, soulignant l'urgence de l'application des correctifs. Microsoft a publié les correctifs dans les mises à jour de sécurité décembre 2025, mais l'ajout récent au catalogue KEV indique que de nombreuses organisations n'ont toujours pas appliqué ces patchs et que des acteurs malveillants exploitent activement cette fenêtre d'exposition.

Impact et exposition

Cette vulnérabilité est particulièrement dangereuse dans les scénarios de post-exploitation. Un attaquant ayant obtenu un premier accès à une machine Windows — via phishing, exploitation d'une autre faille ou compromission d'un compte utilisateur — peut exploiter CVE-2025-60710 pour escalader ses privilèges jusqu'au niveau SYSTEM. Cela lui confère un contrôle total sur la machine : désactivation des protections de sécurité, extraction de credentials, mouvement latéral dans le réseau et persistance. Les organisations utilisant Windows 11 24H2 ou 25H2 en environnement entreprise sont les plus exposées, de même que les infrastructures Windows Server 2025 récemment déployées. Le fait que la faille soit combinable avec d'autres vulnérabilités de la même vague KEV (notamment des failles Exchange et Adobe) amplifie considérablement le risque dans les environnements où plusieurs composants non patchés coexistent.

Recommandations immédiates

• Appliquer immédiatement les correctifs Microsoft : KB5072033 pour Windows 11 24H2 et Server 2025, KB5068861 pour Windows 11 25H2
• Vérifier le déploiement effectif des mises à jour via WSUS, SCCM ou votre solution de gestion de parc
• Restreindre les droits d'administration locale au strict nécessaire selon le principe du moindre privilège
• Durcir les permissions en écriture sur les répertoires de travail des processus système, notamment ceux liés à taskhost
• Surveiller les événements de création de liens symboliques inhabituels dans les journaux de sécurité Windows (Event ID 4663, 4656)
• Si le patch ne peut pas être appliqué immédiatement, déployer des règles de détection EDR ciblant la création de symlinks dans les répertoires système