Microsoft a publié mardi sa première mise à jour de sécurité pour 2026, corrigeant 114 failles de sécurité, y compris une vulnérabilité qui, selon elle, a été activement exploitée dans la nature.
Sur les 114 défauts, huit sont classés comme critiques et 106 comme importants en termes de gravité. Pas moins de 58 vulnérabilités ont été classées comme élévation de privilèges, suivies de 22 vulnérabilités de divulgation d'informations, 21 vulnérabilités d'exécution de code à distance et cinq failles d'usurpation d'identité. Selon les données collectées par Fortra, la mise à jour marque le troisième plus grand Patch Tuesday de janvier après janvier 2025 et janvier 2022.
Ces correctifs s'ajoutent à deux failles de sécurité que Microsoft a corrigées dans son navigateur Edge depuis la sortie de la mise à jour Patch Tuesday de décembre 2025, notamment une faille d'usurpation d'identité dans son application Android (CVE-2025-65046, 3.1) et un cas d'application insuffisante des politiques dans la balise WebView de Chromium (CVE-2026-0628, score CVSS : 8,8).
La vulnérabilité qui a été exploitée dans la nature est CVE-2026-20805 (score CVSS : 5,5), une faille de divulgation d'informations affectant Desktop Window Manager. Le Microsoft Threat Intelligence Center (MTIC) et le Microsoft Security Response Center (MSRC) sont reconnus pour avoir identifié et signalé la faille.
“L'exposition d'informations sensibles à un acteur non autorisé dans Desktop Windows Manager (DWM) permet à un attaquant autorisé de divulguer des informations localement”, a déclaré Microsoft dans un avis. “Le type d'informations qui pourrait être révélé si un attaquant parvenait à exploiter cette vulnérabilité est une adresse de section d'un port ALPC distant, qui est une mémoire en mode utilisateur.”
Il n’existe actuellement aucun détail sur la manière dont la vulnérabilité est exploitée, l’ampleur de ces efforts et qui pourrait être à l’origine de cette activité.
“DWM est chargé de tout afficher sur l'écran d'un système Windows, ce qui signifie qu'il offre une combinaison intéressante d'accès privilégié et de disponibilité universelle, puisque presque tous les processus peuvent avoir besoin d'afficher quelque chose”, a déclaré Adam Barnett, ingénieur logiciel principal chez Rapid7, dans un communiqué. “Dans ce cas, l'exploit conduit à une divulgation inappropriée de l'adresse d'une section du port ALPC, qui est une section de la mémoire en mode utilisateur où les composants Windows coordonnent diverses actions entre eux.”
Microsoft avait précédemment corrigé une faille zero-day activement exploitée dans DWM en mai 2024 (CVE-2024-30051, score CVSS : 7,8), décrite comme une faille d'élévation de privilèges qui a été exploitée par plusieurs acteurs malveillants, en relation avec la distribution de QakBot et d'autres familles de logiciels malveillants. Satnam Narang, ingénieur de recherche senior chez Tenable, a qualifié DWM de « voyageur fréquent » lors du Patch Tuesday, avec 20 CVE corrigés dans la bibliothèque depuis 2022.
Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, a déclaré que la vulnérabilité peut être exploitée par un attaquant authentifié localement pour révéler des informations, vaincre la randomisation de la disposition de l'espace d'adressage (ASLR) et d'autres défenses.
“Des vulnérabilités de cette nature sont couramment utilisées pour saper l'Address Space Layout Randomization (ASLR), un contrôle de sécurité central du système d'exploitation conçu pour protéger contre les dépassements de tampon et autres vulnérabilités de falsification de la mémoire”, a déclaré Kev Breen, directeur principal de la recherche sur les cybermenaces chez Immersive, à The Hacker News.
“En révélant où réside le code en mémoire, cette vulnérabilité peut être enchaînée à une faille d'exécution de code distincte, transformant un exploit complexe et peu fiable en une attaque pratique et reproductible.”
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a depuis ajouté la faille à son catalogue de vulnérabilités exploitées connues (KEV), ordonnant aux agences du Federal Civil Executive Branch (FCEB) d'appliquer les derniers correctifs d'ici le 3 février 2026.
Une autre vulnérabilité à noter concerne une fonctionnalité de sécurité qui affecte l'expiration du certificat de démarrage sécurisé (CVE-2026-21265, score CVSS : 6,4) et pourrait permettre à un attaquant de saper un mécanisme de sécurité crucial qui garantit que les modules du micrologiciel proviennent d'une source fiable et empêche l'exécution de logiciels malveillants pendant le processus de démarrage.
En novembre 2025, Microsoft a annoncé qu'il expirerait trois certificats Windows Secure Boot émis en 2011, à partir de juin 2026, exhortant les clients à passer à leurs homologues de 2023.
- Microsoft Corporation KEK CA 2011 (juin 2026) – Microsoft Corporation KEK 2K CA 2023 (pour signer les mises à jour DB et DBX)
- Microsoft Windows Production PCA 2011 (octobre 2026) – Windows UEFI CA 2023 (pour signer le chargeur de démarrage Windows)
- Microsoft UEFI CA 2011 (juin 2026) : Microsoft UEFI CA 2023 (pour signer des chargeurs de démarrage tiers) et Microsoft Option ROM UEFI CA 2023 (pour signer des ROM d'options tierces)
“Les certificats de démarrage sécurisé utilisés par la plupart des appareils Windows expirent à partir de juin 2026. Cela pourrait avoir un impact sur la capacité de certains appareils personnels et professionnels à démarrer en toute sécurité s'ils ne sont pas mis à jour à temps”, a déclaré Microsoft. “Pour éviter les perturbations, nous vous recommandons de consulter les directives et de prendre des mesures pour mettre à jour les certificats à l'avance.”
Le fabricant de Windows a également noté que la dernière mise à jour supprime les pilotes Agere Soft Modem « agrsm64.sys » et « agrsm.sys » qui étaient nativement fournis avec le système d'exploitation. Les pilotes tiers sont sensibles à une faille d'élévation de privilèges locale vieille de deux ans (CVE-2023-31096, score CVSS : 7,8) qui pourrait permettre à un attaquant d'obtenir les autorisations SYSTÈME.
En octobre 2025, Microsoft a pris des mesures pour supprimer un autre pilote de modem Agere appelé « ltmdm64.sys » suite à l'exploitation sauvage d'une vulnérabilité d'élévation de privilèges (CVE-2025-24990, score CVSS : 7,8) qui pourrait permettre à un attaquant d'obtenir des privilèges administratifs.
CVE-2026-20876 (score CVSS : 6,7) figure également en bonne place sur la liste des priorités. Il s'agit d'une faille d'élévation de privilèges de niveau critique dans l'enclave de sécurité basée sur la virtualisation Windows (VBS), qui permet à un attaquant d'obtenir des privilèges de niveau de confiance virtuel 2 (VTL2) et de les exploiter pour contourner les contrôles de sécurité, établir une persistance approfondie et échapper à la détection.
“Il brise les barrières de sécurité conçues pour protéger Windows lui-même, permettant aux attaquants d'accéder à l'une des couches d'exécution les plus fiables du système”, a déclaré Mike Walters, président et co-fondateur d'Action1.
“Bien que l'exploitation nécessite des privilèges élevés, l'impact est grave car il compromet la sécurité basée sur la virtualisation elle-même. Les attaquants déjà implantés pourraient utiliser cette faille pour vaincre les défenses avancées, une mise à jour rapide est donc essentielle pour maintenir la confiance dans les limites de sécurité de Windows.”
Correctifs de logiciels tiers
Outre Microsoft, d'autres fournisseurs ont également publié des mises à jour de sécurité depuis le début du mois pour corriger plusieurs vulnérabilités, notamment :
- TISSU
- Adobe
- Services Web Amazon
- et
- Bras
- ASUS
- Broadcom (y compris VMware)
- cisco
- ConnectWise
- Systèmes Dassault
- Lien D
- Dell
- Retours
- Drupal
- Élastique
- F5
- Fortinet
- Fortra
- Logiciel Foxit
- FUJIFILM
- gigaoctets
- GitLab
- Google Android et Pixel
- Google Chrome
- Nuage Google
- Gratter
- Hikvision
- puissance
- HP Enterprise (y compris Aruba Networking et Juniper Networks)
- IBM
- Technologies de l'imaginaire
- lenovo
- Distributions Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE et Ubuntu
- MédiaTek
- Mitel
- Mitsubishi Électrique
- MongoDB
- Moxa
- Mozilla Firefox et Firefox ESR
- n8n
- NETGEAR
- Noeud.js
- Nvidia
- propre cloud
- QNAP
- Qualcomm
- Ricoh
- Samsung
- SÈVE
- Schneider Électricité
- Service maintenant
- Siemens
- vents solaires
- Mur sonique
- Sophos
- cadre à ressort
- Sinologie
- TP-Link
- Micro tendance et
- Veam
