Menu

Aucun menu défini dans le customizer.

Actus AutomatiséesActus TechbugsCISAcybersecurite/actualites-securitecybersecurite/failles-vulnerabilitesmictosoftSciences

Quatre bugs Microsoft ressortent du placard, dont un de 14 ans

Avatar de Krigs Par Krigs
3 0

Actualités Automatisées

Quatre bugs Microsoft ressortent du placard, dont un de 14 ans

🕒 Publié le : 14/04/2026 à 09:00
 |  ✍️ Auteur : Korben
 |  📚 Source : Les news de Korben

Une vulnérabilité Microsoft patchée en 2012, deux fois, refait surface en 2026 dans des attaques actives. Elle fait partie des quatre failles que la CISA a collées lundi dans son catalogue des bugs activement exploités, avec obligation pour les agences fédérales américaines de patcher sous deux semaines. 14 ans plus tard, un vrai bug zombie.

La plus vieille, c’est CVE-2012-1854, un chargement de bibliothèque non sécurisé dans Visual Basic for Applications. Microsoft l’a corrigée une première fois en juillet 2012, puis encore en novembre de la même année.

Ça n’a pas suffi. Des attaquants trouvent toujours des machines non patchées sur lesquelles elle fonctionne, et exécutent du code à distance via VBA. Un classique des macros Office qui refuse de mourir.

Les trois autres ne sont pas plus rassurantes. CVE-2023-21529, une désérialisation de données non fiables dans Exchange Server, permet à un attaquant authentifié de faire de l’exécution de code à distance.

Elle était patchée en février 2023. CVE-2023-36424 touche le driver Common Log File System de Windows et ouvre la porte à une escalade de privilèges (patchée en novembre 2023). Et la dernière, CVE-2025-60710, est une faille de link-following dans Windows qui donne également de l’escalade de privilèges.

Côté exploitation active, les chasseurs de menaces Microsoft pointent Storm-1175, un gang financièrement motivé qui combine la faille Exchange avec 15 autres pour entrer dans des organisations, siphonner leurs données et déployer le ransomware Medusa. Du classique en plusieurs étapes, sauf que le point d’entrée est une faille colmatée depuis trois ans.

Ce qui est frappant dans la liste, c’est que trois failles sur quatre disposent d’un patch depuis des années. La CISA ne découvre pas des zero-days, elle constate que le parc à patcher est toujours aussi béant, y compris dans les administrations fédérales US. Côté SI de PME françaises qui tournent sur un Exchange vieillissant, je vous rassure le tableau n’a aucune raison d’être meilleur.

Patcher Exchange reste un gros chantier pour beaucoup d’équipes IT, entre les dépendances métier, les interfaces custom et la peur de casser la messagerie. Sauf que voilà, tant que ce n’est pas fait, le ransomware a un boulevard.

Bref, si vous avez un Exchange ou un Windows qui traîne avec des patches manquants depuis 2012 ou 2023, c’est vraiment le moment de vous y coller.

Source :
The Register

Avatar de Krigs

À propos de l'auteur

https://github.com/Krigsexe

Voir tous les articles de Krigs

Articles similaires

Leave a Comment

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Profil Gravatar