Windows : deux failles activement exploitées – raccourcis .lnk et vulnérabilité WSUS

Deux vulnérabilités dans le code de Windows sont actuellement exploitées par des groupes de pirates à travers le monde, selon un reportage d’Ars Technica. L’une touche le système de raccourcis (.lnk) et est utilisée depuis plusieurs années, l’autre concerne Windows Server Update Services (WSUS) et a fait l’objet de correctifs successifs après des contournements.

1) Une faille dans les fichiers .lnk exploitée depuis 2017

La première vulnérabilité, exploitée depuis 2017, porte sur le traitement des fichiers de raccourci Windows (.lnk). En manipulant un fichier .lnk, un attaquant peut tromper le système d’exploitation et installer des malwares à distance sans interaction complexe de la victime.

Trend Micro, qui a identifié la faille en mars, indique qu’au moins 11 groupes de hackers – souvent liés à des gouvernements – exploitent déjà cette brèche. Les cibles recensées s’étendent sur près de 60 pays, parmi lesquels les Etats-Unis, le Canada, la Russie et la Corée du Sud.

Des acteurs affiliés à la Chine auraient utilisé cette vulnérabilité pour diffuser le cheval de Troie PlugX, employé depuis plus de dix ans dans des campagnes d’espionnage à grande échelle. Pour réduire les risques de détection, les opérateurs gardent souvent le fichier malveillant chiffré jusqu’à la phase finale de l’attaque.

Les chercheurs d’Arctic Wolf notent un ciblage récent de pays européens. Selon leur rapport, le « ciblage rapide et multi-pays laisse penser a une campagne de renseignement coordonnee ou a plusieurs equipes paralleles partageant les memes outils ». Des missions diplomatiques européennes, notamment en Belgique et en Hongrie, ont été visées.

Microsoft n’a pas encore publié de correctif pour cette faille, qui est donc qualifiée de « zero day ». En attendant une mise à jour officielle, les mesures recommandées sont les suivantes :

• Ne pas ouvrir les fichiers .lnk provenant de sources inconnues.
• Configurer l’explorateur Windows pour qu’il n’exécute pas automatiquement les raccourcis.

2) Une faille WSUS découverte en octobre 2025, corrigée après contournement

La seconde vulnérabilité a été découverte en octobre 2025 dans Windows Server Update Services (WSUS), le service utilisé pour déployer et gérer des mises à jour sur de larges parcs serveurs. Le problème se situe dans la gestion de la sérialisation des données. Lorsqu’elle est vulnérable, la sérialisation non sécurisée permet l’injection d’instructions malveillantes, conduisant à l’exécution de code arbitraire sur le serveur.

Microsoft a d’abord proposé un correctif lors du Patch Tuesday d’octobre. Des chercheurs ont rapidement montré que ce correctif pouvait être contourné, et des attaques exploitant la faille ont été signalées dès le 23 octobre, selon Sophos. Face à cette situation, Microsoft a publié un deuxième correctif d’urgence à la fin du mois d’octobre 2025.

Microsoft souligne que, si un serveur WSUS vulnérable est compromis, l’exploitation peut permettre une propagation rapide d’un serveur à l’autre, comme un ver informatique. L’éditeur recommande aux administrateurs d’appliquer immédiatement le patch d’urgence.

Conclusions et recommandations

• La faille .lnk reste non corrigée et est exploitée activement : prudence renforcée sur les fichiers de raccourci reçus.
• Pour WSUS, appliquer sans délai le second correctif d’octobre 2025 fourni par Microsoft.
• Surveiller les bulletins de sécurité officiels et déployer les mises à jour sur l’ensemble des serveurs et postes.

Sources principales : Ars Technica, Trend Micro, Arctic Wolf, Sophos, communications Microsoft.