DESCRIPTION / CVE-2025-7073 – Publié le 10/12/2025
La vulnérabilité CVE-2025-7073 est une vulnérabilité critique de type « Local Privilege Escalation »(élévation de privilèges) et « Link Following »(CWE-59) .
Elle a reçu un score de 8,8/10 sur l’échelle CVSS, indiquant un niveau de sévérité HAUT.
Cette faille est liée à une faiblesse dans l’ATC (Advanced Threat Control) de Bitdefender.
La vulnérabilité permet à un attaquant de manipuler des fichiers critiques en créant des liens symboliques (symlinks) dans un dossier surveillé par le service Bitdefender.
Mécanisme d’exploitation
La faille repose sur six points :
| Présence d’un dossier accessible aux utilisateurs : Le service Bitdefender ATC utilise un répertoire spécifique > C:\ProgramData\Atc\Feedback, pour stocker et traiter des fichiers temporaires ou de diagnostic. Ce répertoire est accessible en écriture par des utilisateurs locaux non privilégiés. | Création d’un lien symbolique malveillant : Un attaquant local crée, dans ce répertoire, un lien symbolique pointant vers un fichier système ou un fichier critique de son choix. Ce lien est conçu pour ressembler à un fichier légitime attendu par le service Bitdefender. |
| Absence de validation des liens symboliques : Lors du traitement ou du nettoyage du répertoire, le service Bitdefender ne vérifie pas si le fichier manipulé est un lien symbolique ni vers quelle cible il pointe réellement. | Exécution d’une opération avec privilèges élevés : Le service, exécuté avec les privilèges SYSTEM, applique une opération (suppression, remplacement ou écrasement) sur le fichier ciblé par le lien symbolique, pensant agir sur un simple fichier temporaire. |
| Modification ou suppression de fichiers critiques : L’opération est alors appliquée directement au fichier réel pointé par le lien symbolique, permettant à l’attaquant d’altérer des fichiers système ou de préparer l’injection de code malveillant. | Élévation de privilèges : En exploitant ce comportement, l’attaquant peut obtenir une élévation de privilèges locale et exécuter du code ou des actions avec des droits équivalents à ceux du service Bitdefender. |
CORRECTIFS ET RECOMMANDATIONS
| Version corrigées Total Security >= v27.10.45.497 Internet Security & Antivirus Plus >= v27.10.45.497 Antivirus Free >= v30.0.25.77 Endpoint Security Tools for Windows >= v7.9.20.515 |
| Application des correctifs Mettre à jour instantanément tous les produits Bitdefender mentionnés vers les versions corrigées afin d’éliminer la vulnérabilité. |
| Limitation des permissions Limiter les comptes utilisateurs à des privilèges stricts lorsqu’ils n’ont pas besoin d’accès particuliers. |
| Accessibilité Vérifier les permissions des dossiers sensibles afin d’éviter qu’un répertoire d’application ne soit accessible en écriture non contrôlée par des utilisateurs non privilégiés. |
| Surveillance de modifications Surveiller les modifications de fichiers système, en particulier dans les actions automatisées d’antivirus ou de processus d’élévations de leurs droits. |
CONCLUSION ET PERSPECTIVES
La vulnérabilité CVE-2025-7073 illustre comment une simple erreur de validation de liens symboliques dans un composant de sécurité peut devenir une faille d’élévation de privilèges grave, malgré le fait que le composant soit censé protéger le système.
Cette vulnérabilité rappelle l’importance de :
- Filtrer et contrôler les permissions utilisateurs
- Valider explicitement et avec attention chaque opération du système de fichier
- Maintenir les logiciels à jour
Sources
CVE : https://www.cve.org/CVERecord?id=CVE-2025-7073
CWE : https://cwe.mitre.org/data/definitions/59.html
CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1089/
Bitdefender : https://www.bitdefender.com/support/security-advisories/local-privilege-escalation-via-arbitrary-file-operation-in-bitdefender-atc-va-12590/
NIST : https://nvd.nist.gov/vuln/detail/CVE-2025-7073