Deux vulnérabilités dans Windows sont activement exploitées par des pirates informatiques, notamment pour mener des attaques contre les services diplomatiques belges.
Les attaquants exploitent activement deux failles dans Windows. La première est une vulnérabilité zero day découverte en mars, mais pour laquelle il n’existe toujours pas de correctif définitif. Le problème a reçu l’identifiant
Raccourci malveillant
L’attaque commence par un e-mail de phishing ciblé. L’attaquant tente finalement de convaincre la cible de télécharger et d’ouvrir des fichiers LNK. Via ces raccourcis apparemment inoffensifs, ils peuvent alors exécuter des commandes PowerShell pour installer une porte dérobée.
Selon les chercheurs en sécurité d’Arctic Wolf Labs, une campagne d’espionnage est actuellement menée par un groupe de pirates informatiques lié à la Chine. Les entités diplomatiques sont visées. La Belgique, entre autres, est ciblée selon les chercheurs, ainsi que la Hongrie et plusieurs autres pays. La campagne est en cours depuis septembre.
Il est notable que Microsoft n’a pas encore déployé de correctif pour ce problème. Une attaque nécessite toutefois une intervention humaine : à un moment donné, le pirate doit convaincre quelqu’un d’ouvrir un fichier LNK infecté. Les administrateurs peuvent restreindre l’accès à ces fichiers provenant de sources externes.
La sensibilisation peut également aider. Il n’est jamais conseillé d’ouvrir des fichiers provenant d’une source non fiable. Le fait qu’un raccourci apparemment inoffensif puisse être malveillant mérite d’être particulièrement souligné.
Faille dans WSUS
Malheureusement, la faille mentionnée ci-dessus n’est pas la seule à être exploitée. Un autre problème est CVE-2025-59287, avec un score de 9,8. Cette faille se trouve dans Windows Server Update Services (WSUS), utilisé par les administrateurs pour installer ou mettre à jour des logiciels sur les serveurs. Via cette porte dérobée, les attaquants peuvent exécuter du code à travers le réseau et s’infiltrer dans les systèmes d’entreprise.
Ce problème a également suscité l’intérêt des pirates. Plusieurs entreprises de sécurité, dont Sophos et Huntress, signalent une exploitation active chez leurs clients. Microsoft a tenté de corriger la faille en octobre, mais sans succès. Un second correctif exceptionnel hors cycle apporte une solution.
Les administrateurs sont vivement encouragés à installer cette mise à jour le plus rapidement possible. Il n’existe pas de véritable solution de contournement. Ceux qui ne peuvent pas installer le correctif doivent désactiver WSUS sur les serveurs. Ces serveurs ne recevront alors plus de mises à jour, ce qui n’est pas une solution à long terme. Le blocage du trafic entrant sur les ports 8530 et 8531 au niveau du pare-feu hôte aide également, et a de facto le même effet, car il désactive WSUS.
Microsoft insiste sur le fait que la solution de contournement ne doit pas être désactivée avant l’installation du correctif.
Support
Ces deux failles illustrent à nouveau l’importance des mises à jour. Maintenant que Windows 10 n’est plus pris en charge, cet OS ne reçoit plus de mises à jour. Des bugs et des failles comme ceux décrits ci-dessus apparaissent régulièrement. Plus un OS reste longtemps sans mises à jour, plus les failles dans la défense restent ouvertes et plus le risque de problèmes augmente.
Utilisez-vous encore un système Windows 10 ? Faites-le nous savoir dans notre sondage, et pensez également aux mises à jour ESU (gratuites).