Hello Tuesday text stamp, concept background

Patch Tuesday Microsoft de janvier 2026 : le jour zéro activement exploité nécessite une attention particulière

Lucas Morel

Les OSC devraient également installer des mises à jour pour 3 certificats qui expireront cette année.

Huit vulnérabilités critiques et un Zero Day activement exploité mettent en évidence les premières annonces du Patch Tuesday de Microsoft pour 2026.

La plupart des vulnérabilités ayant le score le plus élevé affectent les produits Office, avec deux failles dans SharePoint obtenant une note de 8,8 sur l’échelle CVSS.

« L’abus de SharePoint l’année dernière par des APT chinoises pour déployer ToolShell contre des organisations devrait servir d’avertissement sur le fait que les vulnérabilités liées à SharePoint et à Office peuvent rapidement devenir populaires auprès des acteurs malveillants », a noté Nick Carroll, responsable de la réponse aux cyber-incidents chez Nightwing.

L’autre vulnérabilité qui a obtenu une note CVSS de 8,8 est CVE-2026-20868 pour le service de routage et d’accès à distance Windows. Il s’agit d’un débordement de tampon basé sur le tas qui permet à un attaquant non autorisé d’exécuter du code sur un réseau. Il existe également un correctif pour un trou de score inférieur dans ce service (CVE-2026-20843) qui permet une élévation de privilèges.

Gestionnaire Windows de bureau

L’exploitation nécessite un accès local avec de faibles privilèges et aucune interaction de l’utilisateur, notent les chercheurs d’Action1, ce qui la rend réalisable pour les attaquants déjà présents sur un système.

Pour les organisations, cette vulnérabilité augmente le risque d’attaques réussies en plusieurs étapes, a déclaré Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1. Les fuites de données de mémoire peuvent être combinées avec d’autres vulnérabilités pour obtenir une élévation de privilèges ou permettre le vol de données, ce qui pourrait conduire à une compromission plus large du système, à une exposition aux réglementations et à une perte de confiance.

Si le correctif ne peut pas être appliqué immédiatement, a-t-il déclaré, les administrateurs doivent limiter l’accès local, appliquer des politiques de moindre privilège et surveiller de près les systèmes pour détecter toute activité locale suspecte.

« Du point de vue des risques, ce problème augmente considérablement le taux de réussite des exploits », a averti Bicer, « et doit être considéré comme un catalyseur d’attaque plutôt que comme une faille autonome. »

Satnam Narang, ingénieur de recherche senior chez Tenable, a qualifié DWM de « voyageur fréquent » lors du Patch Tuesday, avec 20 CVE corrigés dans cette bibliothèque depuis 2022. Mais, a-t-il ajouté, c’est la première fois que les chercheurs constatent un bug de divulgation d’informations dans ce composant exploité à l’état sauvage.

Plus de priorités

Les dirigeants devraient également donner la priorité aux efforts rapides de correction et de réduction des risques ce mois-ci autour des failles d’exécution de code à distance du service de sous-système de l’autorité de sécurité locale de Windows, d’élévation de privilèges des composants graphiques Windows et d’élévation de privilèges de l’enclave de sécurité basée sur la virtualisation Windows, a déclaré Bicer, car ces vulnérabilités permettent directement de compromettre l’ensemble du système ou les limites de confiance.

L’accent stratégique devrait inclure l’accélération du déploiement des correctifs pour les failles critiques et importantes, la réduction des accès locaux inutiles, le renforcement des chemins d’authentification et la surveillance étroite des comportements anormaux d’élévation des privilèges, a déclaré Bicer.

« La divulgation d’informations sur Desktop Window Manager devrait être abordée en parallèle en raison de son exploitation confirmée et de son rôle dans les attaques en chaîne », a-t-il ajouté.

Certificats de démarrage sécurisé

Les experts en sécurité ont également attiré l’attention sur l’avertissement de Microsoft selon lequel certains certificats Secure Boot émis en 2011 expireront en juin ou octobre à moins que les mises à jour incluses dans les correctifs de janvier ne soient installées. Les détails sont inclus dans CVE-2026-21265. Secure Boot empêche le chargement de code malveillant pendant le processus de démarrage de Windows ; les systèmes non mis à jour à temps peuvent devenir vulnérables aux contournements de Secure Boot.

Chris Goettl, vice-président de la gestion des produits chez Ivanti, a qualifié cela de « bombe à retardement pour la sécurité de l’entreprise sur laquelle les équipes informatiques doivent agir maintenant avant de faire face à de graves problèmes opérationnels ».

De plus, Tyler Reguly, directeur associé de la R&D en matière de sécurité chez Fortra, a noté que la documentation Microsoft sur les correctifs pour les certificats expirés n’est pas une seule page, mais contient une multitude de liens, y compris un manuel de déploiement complet pour les professionnels de l’informatique. « Avec moins de six mois pour se préparer, il est temps de s’assurer que les environnements et les équipes sont préparés pour cette mise à jour », a-t-il déclaré.

Plus susceptible d’être exploité

Reguly a également déclaré que l’une des mises à jour les plus intéressantes de ce mois-ci est un correctif pour un problème d’élévation de privilèges du pilote de modem logiciel Windows Agere (CVE-2023-31096). « Il n’est pas fréquent de voir apparaître un CVE datant d’il y a trois ans, mais Microsoft résout enfin un problème qui existe depuis un certain temps », a-t-il déclaré. Ce pilote est livré avec Microsoft Windows, mais selon un article sur cette vulnérabilité, le pilote est en fin de vie depuis 2016. La solution à cette vulnérabilité consiste simplement à supprimer les pilotes concernés, ainsi que les systèmes.

Nick Carroll de Nightwing affirme que les responsables de la sécurité devraient prêter attention à la correction des vulnérabilités qui, selon Microsoft, sont plus susceptibles d’être exploitées. Ce sont :

  • une mauvaise gestion des autorisations dans le rapport d’erreurs Windows (CVE-2026-20817) qui pourrait permettre à un attaquant autorisé d’élever ses privilèges localement ;
  • un débordement de tampon dans le pilote Windows Common Log File System (CVE-2026-20820) qui pourrait amener un attaquant autorisé à élever ses privilèges localement ;
  • un débordement de tampon pouvant conduire à des attaques de code à distance dans Windows NTFS (CVE-2026-20840).
    Il s’agit de l’un des deux problèmes NTFS signalés ce mois-ci, a noté Kev Breen, directeur principal de la recherche sur les cybermenaces chez Immersive. Si les détails techniques sont rendus publics, cela pourrait devenir une vulnérabilité de n jours, a-t-il prévenu, créant ainsi une fenêtre étroite pendant laquelle les services informatiques peuvent appliquer des correctifs avant que l’exploitation ne se généralise ;
  • un problème avec le pilote de fonction auxiliaire Windows pour WinSock qui peut permettre à un attaquant autorisé d’élever des privilèges localement (CVE-2026-20860) ;
  • un problème d’élévation de privilèges dans Desktop Windows Manager (CVE-2026-20871) ;
  • une vulnérabilité d’exécution de code à distance dans Windows NTFS (CVE-2026-20922).

Mises à jour SAP

Par ailleurs, SAP a publié 19 correctifs de sécurité nouveaux ou mis à jour, dont six Notes et quatre Notes. L’une des plus importantes est une vulnérabilité critique d’injection SQL dans le cloud privé et sur site S/4HANA (Finances – Grand livre), étiquetée avec un score CVSS de 9,9. Son exploitation peut conduire à une compromission complète du système par des utilisateurs peu privilégiés. De plus, une vulnérabilité d’injection de code, avec un score CVSS de 9,1, a été corrigée dans S/4HANA Private Cloud et On-Premise.

Oracle et Mozilla

Les chercheurs d’Ivanti notent que Mozilla a publié un trio de mises à jour pour Firefox et Firefox ESR résolvant un total de 34 CVE. Les trois mises à jour ont un indice d’impact élevé. Deux des CVE sont soupçonnés d’avoir été exploités (CVE-2026-0891 et CVE-2026-0892). Les deux sont résolus dans Firefox 147 (MFSA2026-01) et CVE-2026-0891 est résolu dans Firefox ESR 140.7 (MFSA2026-03).

Enfin, les chercheurs de Nightwing notent que les administrateurs d’Oracle devraient être prêts pour le premier des quatre jours de mise à jour majeurs de l’entreprise, qui tombe cette année le mardi 20 janvier. Il devrait y avoir une annonce préliminaire le 15 janvier qui aidera les organisations à se préparer à ce qui s’en vient.

SécuritéVulnérabilités du jour zéroVulnérabilités

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

prismatic rgb image
Des chercheurs découvrent une vulnérabilité vieille de 30 ans dans la bibliothèque libpng
US Navy Nuclear Power Training Command
Le problème fondamental : comment le manque de responsabilité détruit la cybersécurité
Companies monitoring employees
Les hackers retournent les bosswares contre les patrons