Le Patch Tuesday de février revient sur plusieurs failles déjà exploitées, dont certaines permettent de désactiver les protections face aux contenus piégés. En parallèle, Microsoft poursuit le déploiement de ses nouveaux certificats Secure Boot et corrige un ensemble plus large de vulnérabilités, parfois critiques.
Pas de répit pour les équipes de sécurité. Le deuxième Patch Tuesday de l’année apporte son lot de correctifs bien chargés pour Windows 11, colmatant notamment six failles déjà exploitées, dont trois avaient été divulguées avant même la mise à disposition des patchs. En parallèle, Microsoft s’attaque à 52 autres vulnérabilités plus classiques, mais tout aussi préoccupantes dans certains cas, et poursuit le déploiement progressif des nouveaux certificats Secure Boot arrivant à expiration fin juin.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une sécurité utilisateur mise à mal à plusieurs niveaux
Parmi les six failles zero-day corrigées ce mois-ci, trois étaient déjà connues publiquement et permettent de contourner des protections de sécurité censées bloquer les contenus piégés, qu’il s’agisse de liens, de raccourcis ou de fichiers Office malveillants. Autrement dit, des vecteurs d’attaque courants, facilement exploitables, qui ciblent directement les postes utilisateurs.
Première de la liste, la faille CVE-2026-21510 (CVSS 8.8) concerne le Shell Windows et permet de désactiver les alertes de sécurité habituelles, notamment celles de SmartScreen. En envoyant un lien ou un raccourci spécialement conçu, un attaquant peut pousser la cible à ouvrir un fichier sans déclencher la moindre mise en garde. Microsoft ne s’étend pas sur les modalités d’exploitation, mais tout porte à croire que la faille court-circuite la logique Mark of the Web, censée appliquer un marquage aux fichiers téléchargés depuis Internet pour activer automatiquement certaines protections.
CVE-2026-21513 (CVSS 8.8), de son côté, touche le moteur MSHTML, utilisé dans plusieurs composants Windows, dont certaines fonctions d’Office. Une personne malveillante peut l’exploiter pour désactiver à distance une protection censée empêcher le contournement d’une fonction de sécurité via le réseau. Là encore, Redmond reste avare en détails techniques et ne précise pas comment la faille a été utilisée en conditions réelles.
Enfin, CVE-2026-21514 (CVSS 7.8) cible Microsoft Word. Un fichier piégé suffit à désactiver les protections OLE intégrées à Microsoft 365, à condition que la cible ouvre le document. Une technique déjà bien connue dans les campagnes de phishing par pièce jointe, d’autant plus problématique qu’elle échappe aux protections du volet de prévisualisation.
Les trois autres failles exploitées relèvent d’élévations de privilèges et de la stabilité du système. CVE-2026-21519 (CVSS 7.8) permet d’obtenir les droits SYSTEM via Desktop Window Manager, sans que Microsoft ne précise les conditions d’exploitation. CVE-2026-21525 (CVSS 6.2) permet de faire planter le gestionnaire de connexions d’accès distant en forçant le système à accéder à une zone mémoire vide. CVE-2026-21533 (CVSS 7.8), enfin, cible les services Bureau à distance : en modifiant une clé de configuration, un utilisateur autorisé peut ajouter un compte au groupe Administrateurs.
52 autres failles corrigées et poursuite du chantier Secure Boot
En marge de ces failles activement exploitées, Microsoft a également corrigé 52 vulnérabilités supplémentaires, parmi lesquelles 25 relevant d’une élévation de privilèges, 12 permettant l’exécution de code à distance, 6 exposant des informations sensibles, 5 contournant des fonctionnalités de sécurité, 3 provoquant des dénis de service et 7 liées à des scénarios d’usurpation. Cinq d’entre elles sont classées critiques, principalement en raison de leur impact potentiel sur les droits système ou sur la confidentialité des données.
Microsoft poursuit par ailleurs le chantier entamé en janvier avec le remplacement progressif des certificats Secure Boot introduits en 2011, qui arriveront à expiration fin juin. Les nouveaux certificats ne seront déployés que sur les machines jugées prêtes, après détection de « signaux de mise à jour réussie », selon les termes de Redmond. Une manière de limiter les risques de panne en cascade sur des systèmes non conformes.
Source : Microsoft
