Microsoft en crise : deux vulnérabilites Windows activement exploitees par des APT

Des groupes de pirates soutenus par des Etats exploitent actuellement deux vulnérabilites majeures dans Windows. L’une est une faille « zero-day » connue depuis 2017 que Microsoft n’a pas corrigee. L’autre est une faille de type ver, notee 9.8/10, pour laquelle le premier correctif a ete insuffisant et qui a force des organismes comme l’ANSSI et la CISA a lancer des alertes urgentes.

La faille « zero-day » non corrigee (CVE-2025-9491)

Referencee CVE-2025-9491, cette faille concerne les raccourcis Windows (fichiers .LNK). Decouverte initialement en 2017, elle permet l’execution de code a distance via une page web ou un document piege contenant un fichier .LNK. En mars 2024, l’entreprise Trend Micro a signale une exploitation active par au moins 11 groupes APT, originaires notamment de Chine et de Russie.

Selon un rapport d’Arctic Wolf, les attaques se poursuivent et ciblent l’Europe. Des victimes diplomatiques en Hongrie et en Belgique ont recu de fausses invitations a des reunions de l’OTAN ou de la Commission europeenne pour deployer le malware PlugX, illustrant le caractere d’espionnage de cette faille.

Malgre une preuve de concept transmise par Trend Micro, Microsoft n’a pas propose de correctif pour cette faille. L’editeur affirme que Defender et Smart App Control bloquent la menace, et conseille d’eviter d’ouvrir des fichiers provenant de sources inconnues, une reponse jugee trop legere par la communaute de la securite. L’OS lui-meme reste vulnerable.

La faille de type ver (CVE-2025-59287) et l’urgence WSUS

La seconde faille, CVE-2025-59287, affecte le service de mise a jour des serveurs (WSUS). Avec un score de gravite de 9.8/10, elle permet a un attaquant de prendre le contrôle complet d’un serveur puis de se propager automatiquement sur le reseau, comme un ver.

Microsoft a publie un premier correctif lors du Patch Tuesday d’octobre, mais celui-ci etait incomplet. Des exploitations ont commence le 23 octobre, poussant Microsoft a publier un second correctif d’urgence hors cycle le 24 octobre. La CISA et l’ANSSI ont demande instamment aux administrateurs d’appliquer ce patch de maniere prioritaire, car le correctif initial ne protegeait pas contre l’exploitation active.

FAQ

• Comment fonctionne la faille .LNK (CVE-2025-9491) ? Elle utilise les fichiers de raccourcis Windows. Un fichier .LNK piege peut contenir des commandes malicieuses ; si l’utilisateur ouvre ou execute l’objet, le code s’execute a son insu.
• Qui est vise par ces attaques ? Des operations ciblees par des groupes APT visant des entites de haute valeur : diplomatie, infrastructures critiques et organismes gouvernementaux. Des incidents ont ete rapportes dans une soixantaine de pays.
• Que faire pour la faille WSUS (CVE-2025-59287) ? Appliquer immediatement le second correctif d’urgence publie par Microsoft le 24 octobre. Le patch du Patch Tuesday d’octobre est insuffisant et n’assure pas de protection contre l’exploitation.

En l’absence de correctif pour la faille .LNK, les organisations sont invitees a renforcer la surveillance des postes et serveurs, a bloquer l’execution de fichiers inconnus via des protections endpoints, et a suivre les recommandations des agences nationales de securite pour limiter les risques d’intrusion et d’espionnage.