Des chercheurs ont identifié deux vulnérabilités Windows actuellement exploitées à grande échelle, y compris une faille zero-day connue des attaquants depuis 2017. Microsoft n'a pas encore corrigé la zero-day, tandis que le second problème critique a reçu un correctif d'urgence après un patch initial incomplet. Ces attaques visent des utilisateurs dans plusieurs pays et impliquent des menaces persistantes avancées.
La première vulnérabilité, suivie sous CVE-2025-9491, est une zero-day dans le format binaire des raccourcis Windows qui est exploitée depuis 2017. La société de sécurité Trend Micro l'a découverte en mars, notant son exploitation par jusqu'à 11 groupes de menaces persistantes avancées (APT) dans près de 60 pays, les États-Unis, le Canada, la Russie et la Corée étant les plus touchés. Ces APT, souvent liées à des États-nations, ont utilisé cette faille — initialement désignée ZDI-CAN-25373 — pour déployer divers payloads post-exploitation. Sept mois plus tard, Microsoft n'a pas publié de correctif.
Jeudi, Arctic Wolf a rapporté une exploitation par le groupe aligné sur la Chine UNC-6384 contre des cibles dans diverses nations européennes. Les attaques déploient le cheval de Troie d'accès distant PlugX, en gardant le binaire chiffré au format RC4 jusqu'à l'étape finale. Arctic Wolf a déclaré : « L'ampleur du ciblage à travers plusieurs nations européennes dans un délai condensé suggère soit une opération de collecte de renseignements coordonnée à grande échelle, soit le déploiement de multiples équipes opérationnelles parallèles avec des outils partagés mais un ciblage indépendant. » La gravité de la faille est notée 7 sur 10, et les utilisateurs peuvent atténuer les risques en restreignant les fichiers .lnk provenant de sources non fiables via les paramètres de l'Explorateur Windows.
La seconde vulnérabilité, CVE-2025-59287, affecte les Services de mise à jour du serveur Windows (WSUS) et permet l'exécution de code à distance en raison d'une faille de sérialisation. Notée 9,8 en gravité et potentiellement auto-propagative comme un ver, elle a été traitée pour la première fois lors du Patch Tuesday d'octobre de Microsoft mais s'est avérée incomplète après l'émergence d'un code proof-of-concept public. Une mise à jour non programmée la semaine dernière a fourni une correction appropriée. Huntress a observé une exploitation à partir du 23 octobre, tandis que Sophos et Eye ont signalé une activité à partir du 24 octobre dans plusieurs environnements clients à travers diverses industries. Sophos a noté : « La vague d'activité, qui a duré plusieurs heures et visait des serveurs WSUS exposés à Internet, a impacté des clients dans une gamme d'industries et ne semblait pas être des attaques ciblées. » Il reste incertain si les attaquants ont utilisé le proof-of-concept public ou ont développé leurs propres exploits.
Les administrateurs sont invités à vérifier les vulnérabilités et à appliquer les correctifs disponibles, bien qu'aucun calendrier n'existe pour CVE-2025-9491.