Microsoft démarre 2025 avec un Patch Tuesday historique : 159 vulnérabilités ont été corrigées, dont trois dites « zero-day » activement exploitées. Un record qui n'avait pas été atteint depuis huit ans.

Nouveau gros Patch Tuesday pour Microsoft © Alexandre Boero / Clubic
Nouveau gros Patch Tuesday pour Microsoft © Alexandre Boero / Clubic

On peut dire que Microsoft n'y est pas allée de main morte pour son premier Patch Tuesday de l'année. Avec 159 correctifs de sécurité déployés ce 14 janvier, des failles à gogo donc, le géant de Redmond pulvérise sa moyenne habituelle de 60 correctifs pour un mois de janvier.

Jamais, depuis 2017, un nombre si grand de vulnérabilités corrigées n'avait été enregistré. Plus inquiétant encore, trois failles critiques étaient déjà exploitées par des pirates, tandis que cinq autres avaient été divulguées publiquement avant cette mise à jour.

Des vulnérabilités critiques dans les produits Microsoft qui nécessitent une attention immédiate

La situation est particulièrement préoccupante du côté de Windows Hyper-V, la technologie de virtualisation qui permet de créer et gérer des machines virtuelles. Trois failles zero-day (CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335) ont été découvertes dans le composant du noyau NT, le cœur de Windows.

« Les vulnérabilités se trouvent dans un composant qui gère la communication entre les machines virtuelles et le système d’exploitation hôte », nous précise Satnam Narang, chercheur en sécurité chez Tenable. Ces failles permettent aux attaquants d'élever leurs privilèges une fois qu'ils ont accédé au système, ce qui leur donne potentiellement les droits d'administrateur sur la machine compromise.

Microsoft a aussi corrigé une vulnérabilité critique (CVE-2025-21298) dans Windows OLE (qui permet l'intégration et le partage de données entre applications), notée 9.8 sur 10 sur l'échelle CVSS. Cette brèche permet à un attaquant d'exécuter du code malveillant à distance simplement en envoyant un e-mail spécialement conçu vers un système Outlook affecté. Bien que l'aperçu ne soit pas un vecteur d'attaque, la prévisualisation d'une pièce jointe peut déclencher l'exploitation.

Le service de Bureau à distance de Windows n'est pas épargné, avec deux vulnérabilités (CVE-2025-21297 et CVE-2025-21309) qui permettent l'exécution de code à distance sur les serveurs de passerelle Remote Desktop Gateway, censés sécuriser l'accès distant aux bureaux via Internet. Ces vulnérabilités sont d'autant plus dangereuses qu'elles ne nécessitent aucune interaction de l'utilisateur pour être exploitées.

L'intelligence artificielle au service de la détection des failles

Il semblerait aussi qu'une nouvelle ère s'ouvre dans la détection des vulnérabilités, avec l'intervention d'Unpatched.ai, une plateforme d'intelligence artificielle qui a permis d'identifier trois failles critiques dans Microsoft Access, le logiciel de gestion de bases de données qui permet de créer et organiser facilement.

« Ce qui rend ces vulnérabilités particulièrement intéressantes, c'est qu'elles ont apparemment été découvertes à l'aide de l'IA », explique Satnam Narang, de Tenable.

Ce succès de l'IA dans la détection des failles n'est d'ailleurs pas un coup d'essai. Unpatched.ai s'était déjà illustré en décembre 2024 en découvrant la vulnérabilité CVE-2024-49142. Avec ce volume record de correctifs et la sophistication croissante des menaces, les experts recommandent aux administrateurs système de prioriser leurs mises à jour.

Une attention particulière doit être portée aux trois zero-day déjà exploitées dans Windows Hyper-V, ainsi qu'aux failles critiques d'Outlook et du service Bureau à distance qui ne nécessitent que peu ou pas d'interaction utilisateur pour être exploitées, faut-il le rappeler.