Microsoft a publié aujourd'hui des correctifs pour colmater au moins 113 failles de sécurité dans ses différents fenêtres systèmes d'exploitation et logiciels compatibles. Huit des vulnérabilités ont obtenu la note « critique » la plus sérieuse de Microsoft, et la société prévient que les attaquants exploitent déjà l'un des bugs corrigés aujourd'hui.
La faille zero-day de Microsoft de janvier, CVE-2026-20805, nous parvient à cause d'une faille dans le Gestionnaire de fenêtres de bureau (DWM), un composant clé de Windows qui organise les fenêtres sur l'écran d'un utilisateur. Kévin Breendirecteur principal de la recherche sur les cybermenaces chez immersifa déclaré que malgré l'attribution à CVE-2026-20805 d'un score CVSS médiocre de 5,5, Microsoft a confirmé son exploitation active dans la nature, indiquant que les acteurs malveillants exploitent déjà cette faille contre les organisations.
Breen a déclaré que les vulnérabilités de ce type sont couramment utilisées pour saper la randomisation de la configuration de l'espace d'adressage (ASLR), un contrôle de sécurité central du système d'exploitation conçu pour protéger contre les débordements de tampon et autres vulnérabilités de falsification de la mémoire.
“En révélant où réside le code en mémoire, cette vulnérabilité peut être enchaînée à une faille d'exécution de code distincte, transformant un exploit complexe et peu fiable en une attaque pratique et reproductible”, a déclaré Breen. “Microsoft n'a pas révélé quels composants supplémentaires pourraient être impliqués dans une telle chaîne d'exploitation, ce qui limite considérablement la capacité des défenseurs à rechercher de manière proactive des menaces pour des activités associées. En conséquence, l'application rapide de correctifs reste actuellement la seule atténuation efficace.”
Chris Goettlvice-président de la gestion des produits chez Ivantia noté que CVE-2026-20805 affecte toutes les versions mises à jour de sécurité actuellement prises en charge et étendues du système d'exploitation Windows. Goettl a déclaré que ce serait une erreur de minimiser la gravité de cette faille sur la base de sa note « Majeure » et de son score CVSS relativement faible.
“Une méthodologie de priorisation basée sur les risques justifie de traiter cette vulnérabilité comme une gravité supérieure à l'évaluation du fournisseur ou au score CVSS attribué”, a-t-il déclaré.
Parmi les bugs critiques corrigés ce mois-ci, il y en a deux bureau microsoft Bogues d'exécution de code à distance (CVE-2026-20952 et CVE-2026-20953) qui peuvent être déclenchés par la simple visualisation d'un message piégé dans le panneau de prévisualisation.
Notre récapitulatif du Patch Tuesday d'octobre 2025 « Fin 10 » indiquait que Microsoft avait supprimé un pilote de modem de toutes les versions après avoir découvert que des pirates informatiques abusaient d'une vulnérabilité pour pirater des systèmes. Adam Barnett dans rapide7 a déclaré que Microsoft a supprimé aujourd'hui une autre paire de pilotes de modem Windows pour une raison très similaire : Microsoft est au courant d'un code d'exploitation fonctionnel pour une vulnérabilité d'élévation de privilèges dans un pilote de modem très similaire, suivi comme CVE-2023-31096.
“Ce n'est pas une faute de frappe ; cette vulnérabilité a été initialement publiée via MITRE il y a plus de deux ans, avec un article public crédible du chercheur original”, a déclaré Barnett. “Les correctifs Windows actuels suppriment agrsm64.sys et agrsm.sys. Les trois pilotes de modem ont été développés à l'origine par le même tiers aujourd'hui disparu et sont inclus dans Windows depuis des décennies. Ces suppressions de pilotes passeront inaperçues pour la plupart des gens, mais vous pouvez toujours trouver des modems actifs dans certains contextes, y compris certains systèmes de contrôle industriels. “
Selon Barnett, deux questions demeurent : combien de pilotes de modem hérités supplémentaires sont présents dans un actif Windows entièrement corrigé ? et combien d'autres vulnérabilités d'élévation du SYSTÈME en émergeront avant que Microsoft ne bloque l'accès aux attaquants qui aiment « vivre de la terre ».[line] Vous exploitez toute une classe de vieux pilotes de périphériques poussiéreux ?
“Bien que Microsoft ne revendique aucune preuve d'exploitation du CVE-2023-31096, l'article correspondant de 2023 et la suppression en 2025 de l'autre pilote de modem Agere ont fourni entre-temps deux signaux forts à tous ceux qui recherchent des vulnérabilités Windows”, a déclaré Barnett. “Au cas où vous vous poseriez la question, il n'est pas nécessaire d'avoir un modem connecté ; la simple présence du contrôleur suffit à rendre un actif vulnérable.”
Immersive, Ivanti et Rapid7 ont attiré l'attention sur CVE-2026-21265, qui est une vulnérabilité critique de contournement des fonctionnalités de sécurité affectant le démarrage sécurisé de Windows. Cette fonctionnalité de sécurité est conçue pour protéger contre les menaces telles que les rootkits et les bootkits, et est basée sur un ensemble de certificats qui expirent en juin 2026 et octobre 2026. Une fois ces certificats 2011 expirés, les appareils Windows qui ne disposent pas des nouveaux certificats 2023 ne pourront plus recevoir les correctifs de sécurité Secure Boot.
Barnett a averti que lors de la mise à jour du chargeur de démarrage et du BIOS, il est essentiel de se préparer pleinement à l'avance à la combinaison spécifique du système d'exploitation et du BIOS avec laquelle vous travaillez, car des étapes de réparation incorrectes peuvent empêcher le système de démarrer.
“Quinze ans, c'est vraiment long en matière de sécurité de l'information, mais le temps presse pour les certificats racine Microsoft qui signent pratiquement tout dans l'écosystème Secure Boot depuis l'époque de Stuxnet”, a déclaré Barnett. “Microsoft a publié des certificats de remplacement en 2023, ainsi que CVE-2023-24932, qui couvraient les correctifs Windows pertinents ainsi que les étapes ultérieures pour remédier au contournement de démarrage sécurisé exploité par le kit de démarrage BlackLotus.”
Goettl a souligné que Mozilla a publié des mises à jour pour Firefox et Firefox ESR résolvant un total de 34 vulnérabilités, dont deux sont soupçonnées d'être exploitées (CVE-2026-0891 et CVE-2026-0892). Les deux sont résolus dans Firefox 147 (MFSA2026-01) et CVE-2026-0891 est résolu dans Firefox ESR 140.7 (MFSA2026-03).
“Attendez Google Chrome et Microsoft Bord mises à jour cette semaine, ainsi qu'une vulnérabilité de haute gravité dans Chrome WebView qui a été résolue dans la mise à jour Chrome du 6 janvier (CVE-2026-0628) », a déclaré Goettl.
Comme toujours, SANS Internet Storm Center propose une répartition des correctifs par gravité et urgence. Les administrateurs Windows devraient garder un œil sur Askwoody.com pour toute nouvelle concernant les correctifs qui ne fonctionnent pas bien avec tout. Si vous rencontrez des problèmes liés à l'installation des correctifs de janvier, veuillez laisser un message dans les commentaires ci-dessous.
