Microsoft a clôturé l’année 2025 avec des correctifs pour 56 failles de sécurité dans divers produits de la plateforme Windows, dont une vulnérabilité qui a été activement exploitée.

Parmi les 56 failles, trois sont jugées critiques et 53 importantes. Deux autres défauts étaient déjà connus du public au moment de la publication. Il s’agit de 29 vulnérabilités d’élévation de privilèges, 18 d’exécution de code à distance, quatre de divulgation d’informations, trois de déni de service et deux d’usurpation d’identité.

D’après les données compilées par Fortra, Microsoft a corrigé au total 1 275 vulnérabilités CVE en 2025. Satnam Narang, de Tenable, a indiqué que 2025 marque également la deuxième année consécutive où l’éditeur de Windows a corrigé plus de 1 000 vulnérabilités CVE. C’est la troisième fois que cela se produit depuis la création du Patch Tuesday.

Cette mise à jour s’ajoute aux 17 failles que le géant technologique a corrigées dans son navigateur Edge basé sur Chromium depuis la publication de la mise à jour Patch Tuesday de novembre 2025. Elle corrige également une vulnérabilité d’usurpation d’identité dans Edge pour iOS ( CVE-2025-62223 , score CVSS : 4,3).

La vulnérabilité qui est actuellement exploitée est CVE-2025-62221 (score CVSS : 7,8), une vulnérabilité d’utilisation après libération dans le pilote de filtre mini des fichiers cloud Windows qui pourrait permettre à un attaquant autorisé d’élever ses privilèges localement et d’obtenir les autorisations SYSTEM.

« Les pilotes de filtrage du système de fichiers, aussi appelés minifiltres, s’intègrent à la pile logicielle du système et interceptent les requêtes destinées à un système de fichiers, étendant ou remplaçant les fonctionnalités fournies par la cible d’origine », a déclaré Adam Barnett, ingénieur logiciel principal chez Rapid7. « Parmi les cas d’utilisation typiques, on peut citer le chiffrement des données, la sauvegarde automatisée, la compression à la volée et le stockage dans le cloud. »

« Le minifiltre Fichiers cloud est utilisé par OneDrive, Google Drive, iCloud et d’autres, mais en tant que composant essentiel de Windows, il serait toujours présent sur un système où aucune de ces applications n’est installée. »

On ignore pour l’instant comment et dans quel contexte cette vulnérabilité est exploitée, mais son exploitation réussie nécessite qu’un attaquant accède à un système vulnérable par un autre moyen. Le Microsoft Threat Intelligence Center (MSTIC) et le Microsoft Security Response Center (MSRC) sont à l’origine de la découverte et du signalement de cette faille.

Selon Mike Walters, président et cofondateur d’Action1, un acteur malveillant pourrait obtenir un accès à faible privilège par des méthodes telles que le phishing, l’exploitation de failles de sécurité dans les navigateurs Web ou une autre faille connue d’exécution de code à distance, puis l’enchaîner avec CVE-2025-62221 pour prendre le contrôle de l’hôte.

Grâce à cet accès, l’attaquant pourrait déployer des composants du noyau ou exploiter des pilotes signés pour contourner les défenses et maintenir sa persistance, et peut être utilisé comme une arme pour compromettre l’ensemble du domaine lorsqu’il est associé à des scénarios de vol d’identifiants.

L’exploitation de la vulnérabilité CVE-2025-62221 a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à l’ ajouter au catalogue des vulnérabilités exploitées connues ( KEV ), obligeant les agences du pouvoir exécutif civil fédéral (FCEB) à appliquer le correctif d’ici le 30 décembre 2025.

Les deux autres vulnérabilités zero-day sont listées ci-dessous :

• CVE-2025-54100 (score CVSS : 7,8) – Une vulnérabilité d’injection de commandes dans Windows PowerShell permettant à un attaquant non autorisé d’exécuter du code localement.
• CVE-2025-64671 (score CVSS : 8,4) – Une vulnérabilité d’injection de commandes dans GitHub Copilot pour JetBrains permet à un attaquant non autorisé d’exécuter du code localement.

« Il s’agit d’une faille d’injection de commandes dans la façon dont Windows PowerShell traite le contenu web », a déclaré Alex Vovk d’Action1 à propos de la CVE-2025-54100. « Elle permet à un attaquant non authentifié d’exécuter du code arbitraire dans le contexte de sécurité d’un utilisateur qui exécute une commande PowerShell spécialement conçue, telle que Invoke-WebRequest. »

« La menace devient importante lorsque cette vulnérabilité est combinée à des modes opératoires d’attaque courants. Par exemple, un attaquant peut utiliser l’ingénierie sociale pour persuader un utilisateur ou un administrateur d’exécuter un extrait de code PowerShell à l’aide de la commande Invoke-WebRequest, permettant ainsi à un serveur distant de renvoyer un contenu spécialement conçu qui déclenche la faille d’analyse et conduit à l’exécution de code malveillant et au déploiement d’un implant. »

Il convient de noter que la vulnérabilité CVE-2025-64671 fait suite à un ensemble plus vaste de failles de sécurité, baptisé IDEsaster , récemment divulgué par le chercheur en sécurité Ari Marzouk. Ces problèmes résultent de l’ajout de fonctionnalités d’agent à un environnement de développement intégré (IDE), ce qui expose de nouveaux risques de sécurité.

Ces attaques exploitent des injections rapides contre les agents d’intelligence artificielle (IA) intégrés aux IDE et les combinent avec la couche IDE de base pour entraîner la divulgation d’informations ou l’exécution de commandes.

« Cette technique utilise une ancienne chaîne d’attaque exploitant un outil vulnérable, et ne fait donc pas partie de la nouvelle chaîne d’attaque IDEsaster », a déclaré Marzouk, à qui l’on attribue la découverte et le signalement de la faille, à The Hacker News. « Plus précisément, il s’agit d’un outil d’exécution de commandes vulnérable permettant de contourner la liste blanche configurée par l’utilisateur. »

Marzouk a également indiqué que plusieurs environnements de développement intégrés (IDE) étaient vulnérables à la même attaque, notamment Kiro.dev, Cursor ( CVE-2025-54131 ), JetBrains Junie ( CVE-2025-59458 ), Gemini CLI, Windsurf et Roo Code ( CVE-2025-54377 , CVE-2025-57771 et CVE-2025-65946 ). De plus, GitHub Copilot pour Visual Studio Code s’est révélé sensible à cette vulnérabilité, bien que Microsoft lui ait attribué un niveau de gravité « Moyen » sans lui attribuer de CVE.

« La vulnérabilité indique qu’il est possible d’exécuter du code sur les hôtes affectés en trompant le LLM pour qu’il exécute des commandes qui contournent les garde-fous et en ajoutant des instructions dans les paramètres d’approbation automatique de l’utilisateur », a déclaré Kev Breen, directeur principal de la recherche sur les cybermenaces chez Immersive.

« Ceci peut être réalisé grâce à l’« injection d’invite croisée », où l’invite est modifiée non pas par l’utilisateur, mais par les agents LLM qui élaborent leurs propres invites en fonction du contenu des fichiers ou des données récupérées à partir d’un serveur MCP (Model Context Protocol), dont la popularité a augmenté avec les LLM basés sur des agents. »

Correctifs logiciels provenant d’autres fournisseurs#

Outre Microsoft, d’autres fournisseurs ont également publié des mises à jour de sécurité au cours des dernières semaines afin de corriger de multiples vulnérabilités, notamment :

• Adobe
• Services Web Amazon
• AMD
• Bras
• ASUS
• Atlassian
• Bosch
• Broadcom (y compris VMware)
• Canon
• Cisco
• Citrix
• CODESYS
• Dell
• Dévolutions
• Drupal
• F5
• Fortinet
• Fortra
• GitLab
• Google Android et Pixel
• Google Chrome
• Google Cloud
• Google Pixel Watch
• Hitachi Energy
• HP
• HP Enterprise (y compris Aruba Networking et Juniper Networks)
• IBM
• Technologies de l’imagination
• Intel
• Ivanti
• Lenovo
• Distributions Linux : AlmaLinux , Alpine Linux , Amazon Linux , Arch Linux , Debian , Gentoo , Oracle Linux , Mageia , Red Hat , Rocky Linux , SUSE et Ubuntu
• MediaTek
• Mitsubishi Electric
• MongoDB
• Moxa
• Mozilla Firefox et Firefox ESR
• NVIDIA
• OPPO
• Logiciel Progress
• Qualcomm
• Réagir
• Rockwell Automation
• Samsung
• SÈVE
• Schneider Electric
• Siemens
• SolarWinds
• Splunk
• Synology
• TP-Link
• Garde-fou
• Zoom , et
• Zyxel