Récapitulatif
- Microsoft a corrigé six exploits zero-day en plus de l’exploit zero-day hors cycle (OOB) du 29 janvier.
- Le système d’exploitation Windows et Microsoft Office sont les produits affectés par ces exploits zero-day.
- Plusieurs problèmes introduits par la mise à jour cumulative de janvier 2026 ont été corrigés dans des mises à jour OOB et seront inclus dans les mises à jour cumulatives de février 2026.
- Microsoft a annoncé une désactivation progressive de NTLM que toutes les organisations devraient examiner afin de se préparer aux changements à venir et de réduire le risque d’impacts opérationnels.
- Adobe a publié neuf mises à jour corrigeant 43 CVE.
Le Patch Tuesday de février inclut des mises à jour hors cycle récentes de Microsoft, publiées entre le 17 et le 29 janvier, comprenant plusieurs corrections de bugs et un correctif pour un exploit zero-day dans Microsoft Office. En outre, Microsoft a annoncé la désactivation progressive de NTLM avant la publication du Patch Tuesday de février 2026.
Pour la version du Patch Tuesday de février, Microsoft a corrigé 57 CVE uniques. Six CVE sont signalées comme exploitées, et trois d’entre elles ont également été divulguées publiquement. En ajoutant la vulnérabilité zero-day hors cycle (OOB), cela constitue un ensemble de CVE qui méritent une attention particulière.
Publications hors cycle de janvier
La première publication OOB, le 17 janvier, a corrigé un échec d’invite d’identifiants lors de tentatives de connexion à un bureau distant ou à une appliance distante. La deuxième série de mises à jour OOB a eu lieu les 24 et 26 janvier, corrigeant des plantages d’applications dans Outlook et OneDrive, ainsi que des problèmes de mise en veille prolongée et d’arrêt du système. Enfin, la troisième mise à jour OOB, le 26 janvier, concernait une vulnérabilité zero-day CVE-2026-21509, une vulnérabilité de contournement de fonctionnalité de sécurité dans Microsoft Office.
Microsoft prévoit la désactivation progressive de NTLM
Microsoft a publié son plan de désactivation progressive de New Technology LAN Manager (NTLM) dans les systèmes d’exploitation les plus récents, à partir de 2026 et au-delà. Le protocole d’authentification NTLM a été introduit en 1993 et a depuis été remplacé par les protocoles Kerberos, bien plus sécurisés. Toutefois, NTLM est resté la solution de repli lorsque Kerberos n’est pas disponible, malgré son obsolescence et la faiblesse de ses algorithmes.
La première phase introduit des audits supplémentaires afin d’identifier où NTLM peut encore être utilisé et de le remplacer lorsque cela est possible. Dès maintenant, Microsoft recommande d’utiliser l’audit NTLM avancé déjà disponible dans Server 2025, ainsi que dans Windows 11 24H2 et les versions ultérieures. La deuxième phase commencera avec les mises à jour majeures du système d’exploitation prévues plus tard cette année. Cette mise à jour traitera les « points de friction » ou obstacles en supprimant plusieurs scénarios de repli dans lesquels Kerberos revient à NTLM.
Enfin, lors de la troisième phase, NTLM sera désactivé par défaut. Le code sera toujours présent, mais vous devrez le réactiver explicitement en cas de nécessité absolue. Cette approche en trois phases se déroulera rapidement : planifiez donc correctement le remplacement de NTLM dans votre environnement afin de franchir une étape majeure en matière de sécurité. La phase « NTLM désactivé par défaut » interviendra avec la prochaine mise à jour majeure de Server.
Vulnérabilités Microsoft exploitées
Le 29 janvier, Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Microsoft Office (CVE-2026-21509). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant peut envoyer à un utilisateur un fichier Office malveillant et le convaincre de l’ouvrir afin d’exploiter la vulnérabilité. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Remote Desktop Services (CVE-2026-21533). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM. La vulnérabilité affecte Windows 10 et les éditions ultérieures du système d’exploitation. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Microsoft a corrigé une vulnérabilité d’élévation de privilèges dans Desktop Window Manager (CVE-2026-21519). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir des privilèges SYSTEM. La vulnérabilité affecte toutes les versions actuellement prises en charge et prises en charge via ESU du système d’exploitation Windows. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans MSHTML Framework (CVE-2026-21513). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 8,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait contourner une fonctionnalité de sécurité via un réseau. La vulnérabilité affecte Windows 10 et les éditions ultérieures du système d’exploitation. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Windows Shell (CVE-2026-21510). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 8,8, mais son exploitation active a été confirmée. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait contourner une fonctionnalité de sécurité via un réseau. La vulnérabilité affecte toutes les versions actuellement prises en charge et prises en charge via ESU du système d’exploitation Windows. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Microsoft a corrigé une vulnérabilité de contournement de fonctionnalité de sécurité dans Microsoft Word (CVE-2026-21514). La vulnérabilité est classée Important par Microsoft et présente un score CVSS v3.1 de 7,8, mais son exploitation active a été confirmée. Un attaquant peut contourner localement une fonctionnalité de sécurité en raison d’une dépendance à des entrées non fiables. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Microsoft a corrigé une vulnérabilité de déni de service dans Windows Remote Access Connection Manager (CVE-2026-21525). La vulnérabilité est classée Modéré par Microsoft et présente un score CVSS v3.1 de 6,2, mais son exploitation active a été confirmée. Un déréférencement de pointeur nul dans Windows Remote Access Connection Manager permet à un attaquant non autorisé de provoquer un déni de service localement. La vulnérabilité affecte toutes les versions actuellement prises en charge et prises en charge via ESU du système d’exploitation Windows. Une méthodologie de priorisation fondée sur les risques justifie de traiter cette vulnérabilité comme plus sévère que ne l’indiquent la classification de l’éditeur ou le score CVSS attribué.
Avis de sécurité Ivanti
Ivanti a publié une mise à jour de sécurité pour février. Cette mise à jour concerne Ivanti Endpoint Manager et corrige deux nouvelles CVE ainsi que 11 CVE de gravité moyenne qui avaient été divulguées fin 2025. Des informations plus détaillées sur les mesures d’atténuation sont disponibles dans l’avis de sécurité de février.
En outre, un avis de sécurité a été publié le 29 janvier pour Ivanti Endpoint Manager Mobile (EPMM), concernant un nombre limité de clients au moment de la divulgation. Ivanti invite vivement tous les clients utilisant le produit EPMM sur site à installer rapidement la mise à jour de sécurité. L’avis de sécurité, une analyse technique complémentaire et un script de détection d’exploitation codéveloppé avec le NCSC-NL sont disponibles dans l’avis de sécurité de janvier.
Vulnérabilités tierces
Adobe a publié neuf mises à jour ce mois-ci, corrigeant 43 CVE, dont 27 critiques. Les neuf mises à jour sont classées priorité 3 par Adobe.
Liste des tâches pour les mises à jour de février
Les mises à jour du système d’exploitation Windows et de Microsoft Office sont prioritaires ce mois-ci, car elles corrigent six nouveaux exploits zero-day et un exploit zero-day OOB.
Consultez l’annonce et la documentation de Microsoft sur la désactivation progressive de NTLM afin de commencer à planifier l’obsolescence et la désactivation de NTLM.
