Microsoft a publié des mises à jour de sécurité pour une série de vulnérabilités Zero Day dans Windows et Office qui sont activement exploitées par des attaquants. La société a décrit les exploits comme des attaques en un clic capables d’installer des logiciels malveillants ou d’accorder un accès non autorisé avec une interaction minimale de l’utilisateur.
Deux de ces failles peuvent être déclenchées lorsqu’un utilisateur clique sur un lien malveillant sur un ordinateur Windows, tandis qu’une troisième peut compromettre un système lorsqu’un fichier Office malveillant est ouvert. Microsoft a classé les bogues comme des bogues zéro jour car ils étaient utilisés avant que les correctifs ne soient disponibles.
Les détails des méthodes d’exploitation ont été publiés, augmentant le risque de nouvelles attaques. Microsoft n’a pas divulgué la source des détails publiés, et un porte-parole n’a pas immédiatement commenté TechCrunch lorsqu’on l’a interrogé sur la publication.
Les chercheurs en sécurité du Threat Intelligence Group de Google sont reconnus pour avoir découvert les vulnérabilités. L’un des bogues, identifié comme CVE‑2026‑21510, réside dans le shell Windows qui alimente l’interface utilisateur du système d’exploitation et affecte toutes les versions de Windows prises en charge. Lorsqu’une victime clique sur un lien malveillant, la vulnérabilité contourne le filtre SmartScreen de Microsoft, qui bloque normalement les liens et fichiers malveillants.
L’expert en sécurité Dustin Childs a noté que le bug peut être utilisé pour installer des logiciels malveillants à distance. “Il y a ici une interaction de l’utilisateur, car le client doit cliquer sur un lien ou un fichier de raccourci”, a écrit Childs dans son blog. “Pourtant, un bug en un clic permettant d’exécuter du code est rare.”
Un porte-parole de Google a confirmé que la vulnérabilité du shell Windows fait l’objet d’une « exploitation active et généralisée » et peut permettre l’exécution silencieuse de logiciels malveillants à haut privilège, augmentant ainsi le risque de déploiement de ransomware ou de collecte de renseignements.
Le deuxième jour zéro de Windows, CVE‑2026‑21513, est situé dans le moteur de navigateur MSHTML propriétaire de Microsoft, utilisé à l’origine par Internet Explorer et conservé pour des raisons de compatibilité ascendante. Microsoft a déclaré que la faille permettait aux attaquants de contourner les contrôles de sécurité de Windows pour installer des logiciels malveillants.
Le journaliste indépendant en sécurité Brian Krebs a rapporté que Microsoft avait également corrigé trois bogues zero-day supplémentaires qui étaient activement exploités, bien que les détails de ces vulnérabilités n’aient pas été divulgués dans l’annonce.
La réponse de Microsoft inclut la publication de correctifs pour tous les bogues zero-day identifiés, exhortant les utilisateurs à appliquer les mises à jour rapidement pour atténuer le risque de compromission.
