La première livraison de correctifs de l'année est conséquente pour Microsoft. Excellente même puisque pas moins de 159 vulnérabilités ont été comblées incluant 8 zero day dont 3 exploitées « Ce n’est pas seulement le plus grand nombre de CVE corrigés en janvier, mais il s'agit du plus grand nombre de CVE corrigés dans le cadre de n’importe quelle publication Patch Tuesday depuis 2017 », a souligné Satnam Narang, ingénieur de recherche senior de Tenable. Les zero day exploitées affectent un composant du noyau NT de Windows Hyper-V. Ces 8 failles ont un niveau de sévérité considéré comme important et 7 d'entre elles ont un score CVSS de 7.8 et une de 6.5.

Les CVE-2025-21333CVE-2025-21334 et CVE-2025-21335 peuvent donner la capacité à un utilisateur malveillant authentifié d'exécuter du code avec des privilèges système. Microsoft n'a pas livré beaucoup d'information sur elles. « En tant que bugs d’élévation de privilèges, ils sont utilisés dans le cadre d’activités post-compromission, lorsqu’un attaquant a déjà accédé à un système cible », fait savoir Satnam Narang. « C’est un peu comme si un attaquant parvenait à entrer dans un bâtiment sécurisé, mais ne pouvait pas accéder à des parties plus sécurisées de l’installation car il devait prouver qu’il en a l’autorisation. Dans ce cas, il parvient à tromper le système pour lui faire croire qu’il devrait avoir l’autorisation. »

Microsoft Access pas épargné par les zero day

Les 5 autres correctifs relatives à des zero day non exploitées concernent les failles CVE-2025-21186CVE-2025-21366 et CVE-2025-21395 affectant Microsoft Access qui peuvent déboucher sur de l'exécution de code distant si un attaquant parvient par exemple à convaincre une victime de télécharger et d’exécuter un fichier malveillant via une technique de social engineering. « Ce qui rend ces vulnérabilités particulièrement intéressantes, c’est qu’elles ont apparemment été découvertes à l’aide de l’IA, étant attribuées à une plateforme appelée Unpatched.ai. Celle-ci avait également été créditée de la découverte d’une faille dans la mise à jour Patch Tuesday de décembre 2024 (CVE-2024-49142) », précise Satnam Narang.

Une autre (CVE-2025-21275) présente un risque d'élévation de privilèges dans Windows App Package Installer, et une dernière CVE-2025-21308 (CVSS 6.5) est de type spoofing de Windows Themes. « L'usurpation d'identité consiste ici à relayer les informations d'identification NTLM. Par conséquent, les systèmes dont le NTLM est restreint sont moins susceptibles d'être exploités. Au minimum, vous devez limiter le trafic NTLM sortant vers les serveurs distants. Heureusement, Microsoft fournit des conseils à ce sujet. Activez ces restrictions, puis corrigez vos systèmes », peut-on lire dans un blog de la Zero Day Initiative (ZDI).

11 failles critiques à corriger d'urgence

Sans être des zero day, d'autres vulnérabilités corrigées par Microsoft nécessitent une grande vigilance des entreprises, dont 11 critiques ayant un score CVSS grimpant à 9.8 pour trois d'entre elles. A savoir la CVE-2025-21311 (élévation de privilèges dans Windows NTLM V1), la CVE-2025-21307 (exécution de code distant dans Windows Reliable Multicast Transport Driver aka RMCAST), et la CVE-2025-21298 (exécution de code distant dans Windows OLE). « Ce bogue permet à un attaquant distant d'exécuter du code sur un système cible en envoyant un courrier spécialement conçu à un système affecté avec Outlook. Heureusement, le volet de prévisualisation n'est pas un vecteur d'attaque, mais la prévisualisation d'une pièce jointe pourrait déclencher l'exécution de code. La faille spécifique existe dans l'analyse des fichiers RTF. Le problème résulte de l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner une corruption de la mémoire. Pour atténuer le problème, vous pouvez configurer Outlook de manière à ce qu'il lise tous les courriers standard en texte brut, mais les utilisateurs se révolteront probablement contre un tel réglage. La meilleure solution consiste à tester et à déployer rapidement ce correctif », prévient la ZDI.