Microsoft livre un Patch Tuesday de décembre plus léger que d’ordinaire, mais avec des angles morts qui ne pardonnent pas. Derrière la cinquantaine de failles corrigées, trois vulnérabilités zero-day s’invitent dans l’équation.
Microsoft clôt l’année avec un Patch Tuesday pour Windows 11 et Windows 10 (ESU) plus frugal qu’à l’accoutumée, seulement 57 failles corrigées, ce qui tranche avec les mois les plus chargés de 2025. Pourtant, cette fournée ne doit rien à la routine. Trois vulnérabilités zero-day y figurent, dont une déjà exploitée dans des attaques actives. Le reste du lot couvre un éventail plus classique d’élévations de privilèges, de vulnérabilités RCE et de problèmes mineurs, mais l’ensemble forme une mise à jour stratégique pour la sécurité des postes Windows et des environnements de développement.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un trio de vulnérabilités sous surveillance
Décembre concentre donc l’attention sur trois vulnérabilités distinctes, chacune touchant un pan différent de l’écosystème Microsoft.
La première, CVE-2025-62221, concerne le pilote Windows Cloud Files Mini Filter Driver, composant essentiel du système chargé de gérer les fichiers synchronisés avec les services cloud comme OneDrive. Le bug repose sur une faille de type use after free, permettant à un attaquant local d’élever ses privilèges jusqu’au niveau SYSTEM, et donc d’obtenir un accès complet au système, ce qui en fait l’un des correctifs les plus importants du mois. Microsoft a d’ailleurs confirmé qu’elle était activement exploitée, mais n’a communiqué aucun détail sur les attaques observées ni sur le profil des menaces impliquées.
La seconde vulnérabilité, CVE-2025-64671, cible GitHub Copilot dans les environnements JetBrains. Le problème résulte d’une injection de commandes possible via des fichiers non fiables ou des serveurs MCP malveillants capables de manipuler les prompts que Copilot interprète. Si l’utilisateur a activé l’exécution automatique de certaines commandes dans son terminal, un attaquant peut ajouter des instructions supplémentaires qui s’exécuteront localement. Cette vulnérabilité a été divulguée publiquement avant le patch, notamment dans les travaux d’Ari Marzuk sur les risques propres aux IDE dopés à l’IA, et s’avère d’autant plus problématique qu’elle touche des environnements où les automatisations, les scripts et les actions initiées par l’IA sont étroitement imbriqués.
Enfin, la troisième zero-day, CVE-2025-54100, touche PowerShell. A priori non exploitée pour le moment, elle pourrait permettre d’exécuter du code malveillant présent dans une page web lorsqu’un script la télécharge à l’aide de la commande Invoke-WebRequest. Le problème vient de la manière dont PowerShell interprète certains éléments du contenu récupéré, qu’il peut traiter comme des instructions au lieu de les considérer comme du simple texte. Le correctif introduit désormais un avertissement lors de l’usage d’Invoke-WebRequest et recommande de passer par l’option -UseBasicParsing pour éviter l’exécution de scripts embarqués dans les pages web. La mesure limite le risque immédiat, mais reste révélatrice des dérives possibles associées aux automatisations web intégrées dans des scripts métiers.
Un Patch Tuesday plus léger, mais incontournable pour clore l’année en sécurité
Les autres vulnérabilités corrigées forment un ensemble plus classique. Microsoft documente 28 élévations de privilèges, 19 exécutions de code à distance, quatre divulgations d’informations, quelques dénis de service et deux problèmes d’usurpation. Aucune de ces failles additionnelles ne fait l’objet d’exploitation active connue, mais certaines impliquent des composants critiques du noyau Windows, des services réseau ou des modules utilisés dans les environnements professionnels.
Microsoft a également précisé que ce total de 57 failles n’intègre pas celles déjà corrigées plus tôt dans le mois dans Microsoft Edge et Mariner, ce qui explique en partie le volume plus réduit du Patch Tuesday.
Reste que même si cette update de sécurité mensuelle donne l’impression d’une accalmie après les fortes vagues de 2025, la présence d’une vulnérabilité exploitée change radicalement la donne. Les équipes de sécurité sont invitées à déployer les correctifs dès que possible afin de tarir les vecteurs d’attaque connus, surtout dans les environnements où PowerShell et Copilot sont intégrés dans les chaînes de production et de développement. Les scripts d’exploitation ont tendance à circuler rapidement une fois la documentation technique publiée, ce qui renforce l’importance d’une mise à jour rapide.
Source : Microsoft
