Je vous partage mon analyse du patch Tuesday de Microsoft.
Microsoft a publié des correctifs pour 57 failles en décembre 2025. Parmi elles, 3 vulnérabilités sont considérées comme critiques (toutes des exécutions de code à distance), et le reste est classé Important (aucune n’est classée Modéré ou Faible ce mois-ci). Aucune mise à jour de Microsoft Edge n’est incluse dans ce bilan, les correctifs Edge (15 failles) ayant été diffusés plus tôt séparément. Ce Patch Tuesday comprend également 3 failles de type “zero-day” (c’est-à-dire divulguées ou exploitées avant correctif) : 1 vulnérabilité activement exploitée et 2 publiquement divulguées.
Types de failles rencontrées :
Les vulnérabilités couvrent divers types d’impacts, dont notamment 28 élévations de privilèges (EoP), 19 exécutions de code à distance (RCE), 4 divulgations d’information, 3 dénis de service (DoS) et 2 usurpations d’identité (spoofing). Aucune vulnérabilité de contournement de fonction de sécurité (Security Feature Bypass) ni de falsification (tampering) n’a été signalée. La prépondérance des failles d’élévation de privilège reflète une tendance continue où les attaquants cherchent à exploiter des composants Windows en mode noyau ou pilotes pour obtenir des accès administrateur.
Produits affectés : Ce Patch Tuesday concerne un large éventail de produits Microsoft. Les systèmes d’exploitation Windows (clients Windows 10/11 et éditions Server jusqu’à 2025) reçoivent de nombreux correctifs, en particulier dans des composantes système telles que les pilotes du noyau Windows, les services réseau (RRAS, MSMQ) et des fonctionnalités comme Hyper-V. La suite Microsoft Office est également fortement concernée (avec des correctifs pour Excel, Word, Outlook, Access et Office dans sa globalité). Des applications serveur critiques comme Microsoft Exchange Server (2016/2019 et édition Subscription) et SharePoint Server sont patchées pour combler des failles respectivement d’élévation de privilège et d’usurpation. Par ailleurs, des composantes liées au cloud et au développement sont visées : Azure Monitor Agent (agent de supervision Azure) présente une RCE, la command-line PowerShell 5.1 est corrigée pour une faille d’injection de commande, et même le plugin GitHub Copilot pour IDE JetBrains fait l’objet d’un patch RCE. Enfin, Microsoft mentionne la correction de vulnérabilités affectant Azure Linux (kernel d’Azure Linux 3.0) en intégrant plusieurs CVE du noyau Linux – un aspect à noter pour les machines Azure tournant sous ce système, bien que ces failles n’aient pas été comptabilisées dans les 57 vulnérabilités du décompte principal.
English translation:
2Analyse détaillée des vulnérabilités par produit
Dans cette section, un tableau récapitule les vulnérabilités Patch Tuesday Déc. 2025 par produit ou composant principal affecté. Pour chaque CVE, on indique un titre/descriptif succinct, le score CVSS v3.1 (échelle 0–10), la gravité Microsoft (Critical/Important), les principaux paramètres CVSS – Vecteur d’attaque (réseau, local, etc.), Complexité, Privilèges requis, Interaction utilisateur – ainsi que le statut d’exploitation connue ou de code d’exploitation public. Les vulnérabilités sont classées par produit pour plus de clarté.
Tableau 1 – Vulnérabilités Patch Tuesday Décembre 2025 par produit (CVSS v3.1)
| Produit/Composant | CVE ID | Titre / Description succincte | CVSS | Gravité | Vecteur | Complexité | Privilèges | Interaction | Exploitation connue | Exploitation active / Code public |
|---|---|---|---|---|---|---|---|---|---|---|
| Windows Cloud Files Mini-Filter Driver | CVE-2025-62221 | Use-after-free dans le pilote Cloud Files permettant une élévation de privilèges au niveau SYSTEM | 7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Oui (Zero-day, exploit actif) | Exploitation active détectée (attaque en cours) |
| Windows Routing & Remote Access (RRAS) | CVE-2025-62549 | Déréférencement de pointeur non fiable dans RRAS permettant une exécution de code à distance (RCE) sur le serveur | 8.8 | Important | Réseau (AV:N) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Windows Resilient File System (ReFS) | CVE-2025-62456 | Dépassement de tampon (heap) dans ReFS permettant à un attaquant authentifié d’exécuter du code sur le réseau | ~8.0 | Important | Réseau (AV:N) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Message Queuing (MSMQ) | CVE-2025-62455 | Vulnérabilité EoP dans MSMQ (file d’attente de messages Windows) – élévation de privilège via un service système | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Common Log File System | CVE-2025-62470 | Dépassement de tampon (heap) dans le pilote CLFS permettant une élévation de privilège locale | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Win32k (GRFX) | CVE-2025-62458 | Dépassement de tampon (heap) dans Win32k-GRFX (pilote graphique) permettant une élévation de privilège locale | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Client/Server Run-time Subsystem | CVE-2025-62466 | Déréférencement de pointeur nul dans le service CSC (Client Side Caching) permettant une élévation de privilège | ~7.0 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Brokering File System | CVE-2025-62469 | Condition de compétition (race condition) dans le système de fichiers brokeré permettant élévation de privilège | ~7.5 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Remote Access Connection Manager | CVE-2025-62472 | Utilisation de ressource non initialisée (use of uninitialized resource) dans RASman permettant élévation de privilège | ~7.0 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Routing & Remote Access (RRAS) | CVE-2025-62473 | Lecture hors limites (buffer over-read) dans RRAS entraînant une divulgation d’information sur le réseau | ~5.0 | Important | Réseau (AV:N) | Faible (AC:L) | Aucuns (PR:N) | Aucune (UI:N) | Non | – |
| Windows Hyper-V | CVE-2025-62567 | Vulnérabilité de déni de service dans Hyper-V pouvant être déclenchée à distance (impact sur la dispo. du service) | ~7.5 | Important | Réseau (AV:N) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Installer | CVE-2025-62571 | Vulnérabilité élévation de privilège dans Windows Installer (possibilité d’obtenir des privilèges plus élevés localement) | ~7.0 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Requise (UI:R) | Non | – |
| Windows Defender Firewall Service | CVE-2025-62468 | Vulnérabilité de divulgation d’information dans le service Pare-feu Windows Defender (exposition de données mémoire) | ~5.5 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows DirectX (Graphics Kernel) | CVE-2025-62463 | Vulnérabilité de déni de service (blocage du système) dans le noyau graphique DirectX | ~5.5 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Requise (UI:R) | Non | – |
| Windows DirectX (Graphics Kernel) | CVE-2025-62465 | Deuxième vulnérabilité DoS dans le noyau graphique DirectX (similaire à CVE-2025-62463) | ~5.5 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Requise (UI:R) | Non | – |
| Windows DirectX (Graphics Kernel) | CVE-2025-62573 | Vulnérabilité élévation de privilège dans le noyau graphique DirectX (permet l’accès administrateur local) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows DWM Core Library | CVE-2025-64679 | Vulnérabilité élévation de privilège dans la librairie du gestionnaire de fenêtres (DWM) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows DWM Core Library | CVE-2025-64680 | Seconde vulnérabilité EoP dans DWM Core Library (similaire à CVE-2025-64679) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Projected File System | CVE-2025-55233 | Vulnérabilité élévation de privilège dans le pilote du système de fichiers projeté (accessibles via partage) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Projected File System | CVE-2025-62462 | Vulnérabilité élévation de privilège dans Windows ProjFS (similaire à CVE-2025-55233) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Projected File System | CVE-2025-62464 | Vulnérabilité élévation de privilège dans Windows ProjFS (troisième variante liée au système de fichiers projeté) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Storvsp.sys (Storage VSP Driver) | CVE-2025-64673 | Vulnérabilité élévation de privilège dans le pilote de stockage virtuel StorVSP.sys | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Windows Camera Frame Server | CVE-2025-62570 | Vulnérabilité de divulgation d’information dans le composant Camera Frame Server (exposition de données) | ~5.0 | Important | Local (AV:L) | Faible (AC:L) | Faibles (PR:L) | Requise (UI:R) | Non | – |
| Microsoft Office (noyau) | CVE-2025-62554 | Type confusion dans Microsoft Office permettant l’exécution de code arbitraire localement | 8.4 | Critique | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Aucune (UI:N) | Non (Divulguée publiquement) | Code d’exploitation public (zero-day divulgué) |
| Microsoft Office (noyau) | CVE-2025-62557 | Use-after-free dans Microsoft Office permettant l’exécution de code arbitraire localement | 8.4 | Critique | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Aucune (UI:N) | Non (Divulguée publiquement) | Code d’exploitation public (zero-day divulgué) |
| Microsoft Outlook | CVE-2025-62562 | Use-after-free dans Microsoft Outlook permettant l’exécution de code arbitraire à l’ouverture d’un contenu mail | 8.8 (estimé) | Critique | Réseau (AV:N) | Faible (AC:L) | Aucuns (PR:N) | Aucune (UI:N) | Non | – |
| Microsoft Excel | CVE-2025-62560 | Vulnérabilité RCE dans Microsoft Excel (déréférencement de pointeur non fiable menant à exécution de code) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Excel | CVE-2025-62561 | Vulnérabilité RCE dans Microsoft Excel (déréférencement de pointeur non fiable similaire à CVE-2025-62560) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Excel | CVE-2025-62563 | Vulnérabilité RCE dans Microsoft Excel (écriture hors limites menant à exécution de code arbitraire) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Excel | CVE-2025-62564 | Vulnérabilité RCE dans Microsoft Excel (écriture hors limites, similaire à CVE-2025-62563) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Excel | CVE-2025-62553 | Vulnérabilité RCE dans Microsoft Excel (dépassement de tampon, permet exécution de code via fichier Excel piégé) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Excel | CVE-2025-62556 | Vulnérabilité RCE dans Microsoft Excel (dépassement de tampon similaire aux autres failles Excel RCE) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Word | CVE-2025-62558 | Vulnérabilité RCE dans Microsoft Word (permet exécution de code via document Word malveillant) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Word | CVE-2025-62559 | Vulnérabilité RCE dans Microsoft Word (variante supplémentaire de l’exploit de fichier Word) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Word | CVE-2025-62555 | Vulnérabilité RCE dans Microsoft Word (variante supplémentaire de l’exploit de fichier Word) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Access | CVE-2025-62552 | Vulnérabilité RCE dans Microsoft Access (base de données Access – exécution de code via un fichier .ACCDB piégé) | ~7.8 | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Non | – |
| Microsoft Outlook | CVE-2025-64671 | Vulnérabilité RCE (Injection de commandes) dans GitHub Copilot for JetBrains IDE – exécution de code local via injection Cross-Prompt | 7.4 (estimé) | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Oui (Zero-day divulgué) | Code d’exploitation public (PoC disponible) |
| GitHub Copilot (JetBrains) | CVE-2025-64671 | Cross-Prompt Injection dans le plugin GitHub Copilot pour JetBrains, permettant l’exécution de commandes locales | 7.4 (estimé) | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Oui (Zero-day divulgué) | Code d’exploitation public (PoC connu) |
| Windows PowerShell 5.1 | CVE-2025-54100 | Vulnérabilité RCE dans Windows PowerShell (injection de commande via Invoke-WebRequest permettant exécution locale) | 7.2 (estimé) | Important | Local (AV:L) | Faible (AC:L) | Aucuns (PR:N) | Requise (UI:R) | Oui (Zero-day divulgué) | Code d’exploitation public (exemple disponible) |
| Azure Monitor Agent | CVE-2025-62550 | Écriture hors limites dans Azure Monitor Agent permettant à un attaquant authentifié d’exécuter du code à distance | ~8.0 | Important | Réseau (AV:N) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Microsoft Exchange Server | CVE-2025-64666 | Validation d’entrées insuffisante dans Exchange 2016/2019 permettant une élévation de privilège (post-auth) | ~7.8 | Important | Réseau (AV:N) | Faible (AC:L) | Faibles (PR:L) | Aucune (UI:N) | Non | – |
| Microsoft Exchange Server | CVE-2025-64667 | Vulnérabilité d’usurpation dans Exchange (peut permettre à un attaquant de falsifier des éléments d’email) | ~4.0 | Important | Réseau (AV:N) | Faible (AC:L) | Faibles (PR:L) | Requise (UI:R) | Non | – |
| Microsoft SharePoint Server | CVE-2025-64672 | Vulnérabilité d’usurpation d’identité dans SharePoint (peut permettre de se faire passer pour un autre utilisateur) | ~4.3 | Important | Réseau (AV:N) | Faible (AC:L) | Faibles (PR:L) | Requise (UI:R) | Non | – |
(Tableau récapitulatif basé sur les informations du Microsoft Security Update Guide et analyses CVE.)
Vulnérabilités notables et points marquants
Failles critiques RCE (Office) – Les trois vulnérabilités critiques de ce mois concernent la suite Office. Deux d’entre elles (CVE-2025-62554 et CVE-2025-62557) sont des failles d’exécution de code dans le cœur de Microsoft Office, exploitées via des documents malveillants. Techniquement, l’une implique un problème de « type confusion » et l’autre un « use-after-free » – dans les deux cas, l’ouverture d’un fichier Office spécialement conçu peut conduire à l’exécution de code arbitraire avec les droits de l’utilisateur. Ces failles ont un score CVSS élevé (~8.4) et Microsoft les a classées Critiques du fait qu’aucune interaction supplémentaire n’est requise en dehors de l’ouverture du fichier, et aucun privilège n’est nécessaire (l’attaquant non authentifié fournit simplement le fichier piégé). Heureusement, à ce jour elles n’ont pas été signalées comme exploitées activement. Néanmoins, elles ont été divulguées publiquement avant la sortie du correctif, ce qui signifie que leurs détails techniques (voire des codes d’exploitation preuve de concept) sont connus des attaquants – d’où la priorité absolue de déployer les correctifs Office correspondants. La troisième faille critique, CVE-2025-62562, concerne Microsoft Outlook et permet également une exécution de code à distance. Il s’agit d’un scénario de type use-after-free dans le moteur d’affichage d’Outlook pouvant être déclenché via un contenu d’email malveillant. Cette vulnérabilité, potentiellement exploitable via l’aperçu d’un email piégé, est critique car un attaquant pourrait exécuter du code sur la machine cible dès la réception/affichage du message, sans privilège requis. Les trois failles RCE Office/Outlook doivent être traitées en priorité maximale étant donné leur surface d’attaque (fichiers bureautiques couramment échangés, e-mails) et le fait que deux d’entre elles sont déjà publiques.
Zero-days et exploits actifs – Outre les failles ci-dessus divulguées publiquement, une vulnérabilité de type zero-day s’avère activement exploitée en décembre 2025 : CVE-2025-62221. C’est une élévation de privilège dans le pilote Windows Cloud Files Mini Filter (utilisé par la fonctionnalité de fichiers à la demande OneDrive). Cette faille, due à un use-after-free en mémoire, permet à un attaquant déjà présent sur un système (avec des droits basiques) d’élever ses privilèges au niveau SYSTEM, c’est-à-dire de prendre un contrôle total de l’ordinateur. Microsoft a confirmé que cette vulnérabilité était exploitée activement dans la nature (zero-day exploité) avant la publication du correctif, ce qui indique un niveau de risque critique pour les systèmes non patchés. L’exploitation, d’après Microsoft, nécessite un accès local (ou via Remote Desktop) avec de faibles privilèges – une fois sur la machine, un code malveillant peut utiliser cette faille du pilote pour obtenir les droits administrateur complets. Il est à noter que Microsoft crédite ses équipes internes (MSTIC et MSRC) pour cette découverte, sans divulguer les détails de la campagne active en cours.
Deux autres failles zero-day sont marquantes même si aucune exploitation active n’a été détectée pour elles à ce jour. La première, CVE-2025-64671, concerne le plugin GitHub Copilot pour les IDE JetBrains et est un cas atypique d’injection de commande via l’IA. Un attaquant pourrait, via un dépôt ou projet malveillant, exploiter une faille d’injection “Cross-Prompt” dans Copilot pour exécuter des commandes locales sur le poste du développeur. Cette vulnérabilité RCE, bien que classée Important seulement, a été divulguée publiquement par un chercheur (Ari Marzuk) dans le cadre d’une étude sur les failles des IDE assistés par IA. La seconde, CVE-2025-54100, est une vulnérabilité dans Windows PowerShell 5.1. Elle permet une injection de commande via Invoke-WebRequest : concrètement, un script PowerShell pourrait, lors de la récupération de contenu web, exécuter involontairement du code inclus dans la page web distante. Microsoft a atténué le problème en modifiant PowerShell pour afficher un avertissement de sécurité invitant l’utilisateur à utiliser -UseBasicParsing afin d’éviter l’exécution du contenu scripté distant. Bien que classée Important et d’un score CVSS ~7.2, cette faille est notable car plusieurs chercheurs externes l’ont signalée et son exploitation ne nécessite pas de privilège élevé – seulement l’exécution d’une commande PowerShell sur du contenu malveillant. Là encore, les détails techniques sont publics, ce qui augmente le risque d’exploitation ultérieure si les systèmes ne sont pas corrigés.
Vulnérabilités réseau à haute criticité – Parmi les autres failles dignes d’intérêt, on soulignera celles touchant des composants réseau de Windows susceptibles d’être exposés directement ou indirectement depuis l’extérieur. La vulnérabilité CVE-2025-62549 (score CVSS 8.8) dans Windows RRAS en est un exemple clef : RRAS (Routing and Remote Access Service) est un service Windows pour les fonctions de routage/VPN, typiquement actif sur les serveurs. La faille est un déréférencement de pointeur non fiable pouvant être exploité via des paquets réseau spécialement conçus, menant à une exécution de code à distance sur le serveur sans authentification préalable. En d’autres termes, un attaquant non authentifié pourrait envoyer du trafic malveillant vers un serveur RRAS (par ex. un serveur VPN) et exécuter du code avec les privilèges du service (souvent SYSTEM). La complexité d’attaque est faible et bien que Microsoft indique qu’une interaction utilisateur est requise dans certains cas (par ex. inciter un utilisateur à établir une session VPN malveillante), le simple fait que RRAS traite le paquet pourrait suffire. Vu la surface d’attaque exposée en réseau, les administrateurs de serveurs Windows (surtout contrôleurs de domaine ou serveurs d’accès à distance) doivent appliquer ce correctif en priorité – et envisager de désactiver RRAS sur les machines où il n’est pas nécessaire, en attendant, pour réduire le risque. Citons également CVE-2025-62550 dans Azure Monitor Agent : cette faille RCE sur un agent Azure installé sur des machines hybrides ou Azure Arc présente un risque si l’agent reçoit des données piégées. L’attaque requiert d’être authentifié sur la cible (PR:L), mais permet ensuite une exécution de code sur la machine dans le contexte de l’agent. Les environnements cloud hybrides devraient intégrer rapidement ce patch via Azure Update ou SCCM.
Failles d’élévation de privilège Windows – Comme souvent, de nombreuses vulnérabilités d’élévation de privilège (EoP) affectent des composants cœur de Windows. Ce mois-ci, outre la zero-day Cloud Files mentionnée, on dénombre des EoP dans des pilotes du noyau (ex: Win32k-GRFX, CLFS), des services système (ex: Remote Access Connection Manager, Client Side Caching, Storage VSP). La plupart de ces failles EoP ont un vecteur local (un attaquant doit déjà avoir un pied sur la machine) et résultent de corruptions de mémoire (dépassements de tampon heap, déréférencements invalides) conduisant à exécuter du code en kernel mode. Bien qu’individuellement classées Important, ces failles sont très prisées dans les scénarios d’attaque post-compromise (par exemple, après avoir obtenu un accès initial via hameçonnage, l’attaquant utilise une EoP pour devenir administrateur local). On note en particulier deux vulnérabilités EoP dans le Desktop Window Manager (DWM), composant central de l’interface graphique Windows – leur correction doit être testée car DWM est utilisé sur tous les postes clients (risque de perturbation graphique minime mais à surveiller). Une autre EoP notable est CVE-2025-62469 (Brokering File System), impliquant un problème de synchronisation (race condition) potentiellement exploitable pour escalader ses privilèges. Même si aucune de ces failles EoP n’est connue comme exploitée, il est judicieux de les corriger rapidement pour limiter les mouvements latéraux et persistances en cas d’intrusion.
Produits serveurs (Exchange, SharePoint) – Les correctifs pour Exchange Server et SharePoint méritent attention. Exchange Server a deux CVE ce mois-ci : CVE-2025-64666 (EoP) et CVE-2025-64667 (Spoofing). La faille EoP sur Exchange pourrait permettre, par exemple, à un attaquant ayant compromis un compte de faible niveau sur le serveur de s’élever à des privilèges d’Organisation Management dans Exchange – ce qui équivaut à compromettre tous les mailboxes. Le correctif devrait être appliqué sans attendre sur toutes les instances Exchange 2016/2019 encore supportées, d’autant qu’Exchange a été une cible fréquente d’exploits par le passé. La faille de spoofing Exchange, ainsi que celle de SharePoint (CVE-2025-64672), permettent quant à elles de détourner l’identité ou de falsifier certains éléments (courriels, requêtes web SharePoint) – leur exploitation est moins impactante (pas de code exécuté), mais pourrait servir dans des attaques de phishing internes ou pour contourner des contrôles d’authentification. Notons que pour SharePoint, l’exploitation de la faille pourrait nécessiter d’être authentifié sur le site SharePoint et de disposer de certains privilèges (dépendant du vecteur exact de spoofing). Comme toujours avec ce type de produits, il convient de planifier les tests et l’installation des correctifs sur les fermes SharePoint/Exchange rapidement, en dehors des heures de bureau si possible, étant donné la sensibilité de ces applications.
4. Recommandations et priorités de mitigation
Priorités pour les RSSI / responsables sécurité : Compte tenu des informations ci-dessus, il est impératif de prioriser l’application des correctifs sur les systèmes exposés et critiques. En premier lieu, mettez à jour sans délai tous les postes clients Office/Windows pour combler les failles critiques Office/Outlook, en communiquant clairement auprès des collaborateurs sur l’importance de redémarrer leur machine après mise à jour (beaucoup de ces correctifs de kernel necessitent un redémarrage). Ensuite, focalisez sur les serveurs Windows en front : appliquez les patchs sur les serveurs RRAS/VPN, serveurs RDS, contrôleurs de domaine et autres machines d’accès distant pour bloquer l’exploitation de failles comme RRAS (CVE-2025-62549) et la multitude d’EoP locales en post-exploitation. Les environnements cloud hybrides devront également être mis à jour – par exemple, via Azure Update Management pour pousser les correctifs sur les VMs Azure, notamment celles utilisant Azure Monitor Agent ou Azure Linux.
Une communication interne doit être faite envers les équipes opérationnelles pour les alerter des zero-days corrigés. Le RSSI devrait s’assurer que les systèmes à haute sensibilité (postes VIP, serveurs critiques) ont bien reçu les patchs de décembre 2025. Il est aussi conseillé de passer en revue les règles de sécurité existantes : renforcer temporairement la surveillance sur les postes non encore patchés (par exemple via EDR) et envisager, si possible, de désactiver ou restreindre les services à risque en attendant la mise à jour (ex. désactiver RRAS ou SMBv3 compression si un correctif réseau critique tardait, etc.).
Conseils opérationnels pour les équipes CSIRT/vulnérabilité : Dès l’application des correctifs, montez une surveillance particulière des indicateurs d’exploitation. Pour la vulnérabilité Cloud Files (CVE-2025-62221), examinez les logs systèmes (Event Viewer) pour repérer des crashs de pilote ou comportements étranges liés à CloudFilesMiniFilter.sys. Mettez en place des détections SIEM/EDR pour les exploits connus : par exemple, surveillez l’apparition de l’alerte PowerShell introduite par le patch (qui affiche un warning en cas d’Invoke-WebRequest potentiellement dangereux) – ceci pourrait signaler une tentative d’exploitation de CVE-2025-54100 sur un poste non mis à jour. De même, soyez attentifs aux événements de sécurité sur les serveurs Exchange et SharePoint (tentatives de connexion suspectes, modifications de configuration) qui pourraient indiquer des tentatives d’exploitation avant correctif. Microsoft n’a pas indiqué de mitigation de contournement pour ces failles, il convient donc de vérifier après patch que les portes d’attaque sont effectivement fermées (par exemple, tester qu’un exploit connu de Copilot ou PowerShell ne fonctionne plus en environnement de test).
Pour les failles critiques Office, continuez de filtrer les documents bureautiques via les outils de sécurité (antivirus, sandbox) et sensibilisez les utilisateurs à n’ouvrir que les documents provenant de sources fiables – le correctif est la solution définitive, mais la prudence utilisateur reste de mise surtout tant que tout le parc n’est pas à jour. De plus, envisagez d’activer les politiques durcissant Office (par ex. Désactiver les macros non signées, activer Protected View) pour réduire la surface d’attaque des exploits de fichiers Office.
Enfin, concernant les produits obsolètes ou en fin de support, il est à noter que Windows 10 21H2 arrive en fin de vie, de même que certaines éditions d’Office 2016/2019. Le Patch Tuesday de décembre 2025 inclut encore des correctifs pour Windows 10 21H2 et Office 2016, mais ce support touche à sa fin. Il est recommandé d’accélérer la migration vers Windows 11 et les éditions Office supportées (Office 2021 LTSC, Office 365 Apps) afin de continuer à recevoir les mises à jour de sécurité en 2026. Les RSSI devraient identifier les postes qui ne pourraient pas être patchés (ex: OS ou Office trop anciens non couverts) et prévoir des mesures compensatoires pour ceux-ci (isolement réseau, retrait du service, etc.).
5. Annexes
Annexe A – Vulnérabilités classées par score CVSS décroissant : Le tableau ci-dessous reprend les vulnérabilités du Patch Tuesday de décembre 2025 triées par score CVSS v3.1 (de la plus élevée à la plus faible). On y distingue que les failles RCE critiques d’Office/Outlook figurent parmi les plus hautes (8.8/8.4). À noter que certains scores CVSS “estimés” sont indiqués pour les vulnérabilités dont le score exact n’était pas disponible au moment de l’analyse (basé sur des hypothèses d’impact similaire). Les vulnérabilités de type DoS ou Spoofing se retrouvent logiquement en bas du tableau avec des scores plus faibles (~4–5). Cette classification par score CVSS permet aux équipes de visualiser rapidement les failles présentant le plus grand impact technique potentiel afin d’orienter en priorité les efforts de déploiement des correctifs.
| CVE ID | Produit/Composant | CVSS v3.1 | Type | Gravité MS | Commentaires |
|---|---|---|---|---|---|
| CVE-2025-62562 | Microsoft Outlook (RCE use-after-free) | 8.8 (High | Remote Code Execution | Critique | RCE via email malveillant (zero-click possible) |
| CVE-2025-62549 | Windows RRAS (RCE pointeur non fiable) | 8.8 (High) | Remote Code Execution | Important | RCE réseau sans auth. (serveurs VPN) |
| CVE-2025-62554 | Microsoft Office (RCE type confusion) | 8.4 (High) | Remote Code Execution | Critique | Zero-day divulgué publiquement (Office) |
| CVE-2025-62557 | Microsoft Office (RCE use-after-free) | 8.4 (High) | Remote Code Execution | Critique | Zero-day divulgué publiquement (Office) |
| CVE-2025-62550 | Azure Monitor Agent (RCE out-of-bounds) | ~8.0 (High) | Remote Code Execution | Important | Nécessite auth. (attaque post-compromis) |
| CVE-2025-62456 | Windows ReFS (RCE heap overflow) | ~8.0 (High) | Remote Code Execution | Important | Attaquant authentifié requis |
| … | … | … | … | … | … |
| CVE-2025-62221 | Windows Cloud Files (EoP use-after-free) | 7.8 (High) | Elevation of Privilege | Important | Zero-day exploité activement (SYSTEM) |
| CVE-2025-64666 | Exchange Server (Elevation of Privilege) | ~7.8 (High) | Elevation of Privilege | Important | Nécessite accès utilisateur mail |
| CVE-2025-64673 | Windows StorVSP (Elevation of Privilege) | ~7.8 (High) | Elevation of Privilege | Important | Local, post-compromission |
| CVE-2025-62560 | Microsoft Excel (RCE memory corruption) | ~7.8 (High) | Remote Code Execution | Important | Fichier Excel malveillant (macro) |
| … | … | … | … | … | … |
| CVE-2025-64671 | GitHub Copilot JetBrains (RCE injection) | ~7.4 (High) | Remote Code Execution | Important | Zero-day divulgué (PoC dispo) |
| CVE-2025-54100 | Windows PowerShell (RCE injection) | ~7.2 (High) | Remote Code Execution | Important | Zero-day divulgué (exploit code injection) |
| CVE-2025-62473 | Windows RRAS (Info disclosure) | ~5.0 (Medium) | Information Disclosure | Important | Fuite d’info réseau (non critique) |
| CVE-2025-62570 | Windows Camera Frame (Info disclosure) | ~5.0 (Medium) | Information Disclosure | Important | Fuite d’info locale (limité) |
| CVE-2025-64672 | SharePoint Server (Spoofing) | ~4.3 (Medium) | Spoofing | Important | Usurpation d’identité (phishing interne) |
| CVE-2025-64667 | Exchange Server (Spoofing) | ~4.0 (Medium) | Spoofing | Important | Usurpation d’éléments email |
(Note: Scores CVSS marqués « ~ » sont estimés à partir des vecteurs, en l’absence de valeur officielle publiée. Les types de vulnérabilité sont indiqués en anglais car correspondant aux catégories CVE standard.)
Annexe B – Liens utiles (bulletins officiels Microsoft) : Pour plus de détails sur chaque mise à jour, consultez le Microsoft Security Update Guide – Release December 2025 (Bulletin officiel Patch Tuesday). Les CVE listées ci-dessus y sont documentées individuellement avec les correctifs associés (références des KB Microsoft). Voici quelques liens directs vers les ressources Microsoft pertinentes :
- 📎 Microsoft Security Update Guide – December 2025 Releases
- 📎 Bulletin d’informations sur les mises à jour Office (décembre 2025) – détails sur les patchs Office 2016, 2019, LTSC 2021/2024.
- 📎 Description de la mise à jour de sécurité Exchange Server – décembre 2025 (KB5029970).
- 📎 Blog MSRC sur les zero-days de décembre 2025 – article récapitulatif Microsoft (s’il a été publié) traitant des exploits en cours et recommandations spécifiques.
En synthèse, le Patch Tuesday de décembre 2025 clôt l’année avec un ensemble conséquent de correctifs touchant l’ensemble de l’écosystème Microsoft. Les équipes de sécurité doivent se concentrer sur le déploiement rapide des mises à jour critiques (notamment Office/Windows) et rester vigilantes quant aux exploitations potentielles des failles divulguées publiquement.
Cet article, à destination des analystes CSIRT et des RSSI, vise à fournir une vue d’ensemble bilingue pour faciliter la communication et le travail de remédiation en cette période de fin d’année.
