Selon ZeroPath CVE Analysis, CVE-2025-49752 est une vulnérabilité critique de type bypass d’authentification dans Azure Bastion, notée CVSS 10.0, pouvant mener à une élévation de privilèges à distance.
-
Produit concerné : Azure Bastion (service managé offrant des accès RDP/SSH aux VM Azure sans exposition directe à Internet).
-
Nature de la faille : CWE-294 (Authentication Bypass by Capture-replay), permettant à un attaquant de rejouer des jetons/crédentiels valides pour obtenir un accès non autorisé.
-
Impact potentiel : Élévation de privilèges jusqu’au niveau administratif, avec la possibilité d’accéder à toutes les VM accessibles via l’hôte Bastion. L’exploitation est à distance, sans interaction utilisateur, et sans authentification préalable.
-
Portée/Affectation : Toutes les déploiements Azure Bastion antérieurs à la mise à jour de sécurité du 20 novembre 2025 seraient concernés. Aucun numéro de version ni restriction de SKU n’est précisé. Toutes les configurations RDP/SSH via Bastion sont potentiellement affectées.
-
État de la menace : Aucun code public, aucune divulgation détaillée de la cause racine, aucun PoC et aucune exploitation active rapportés à la date de publication.
-
Contexte fournisseur : Microsoft a connu plusieurs vulnérabilités critiques en 2025 (ex. CVE-2025-54914 – Azure Networking, CVE-2025-29827 – Azure Automation, CVE-2025-55241 – Azure Entra ID). Malgré un patch cycle mensuel et l’initiative Secure Future Initiative, des problèmes récurrents d’authentification et d’élévation de privilèges sont observés dans des services Azure.
IOCs et TTPs:
- IOCs : Aucun indicateur de compromission mentionné.
- TTPs :
- CWE-294 – bypass par capture-replay de jetons/crédentiels
- Exploitation réseau, sans interaction, non authentifiée
Article de type résumé technique: l’objectif est de présenter brièvement la vulnérabilité, son impact, les systèmes affectés et l’état de la divulgation.
🔗 Source originale : https://zeropath.com/blog/azure-bastion-cve-2025-49752