Mises à jour et exploitation de vulnérabilités: le renseignement de Flare sur la cybercriminalité après le « January 2026 Patch Tuesday »

Par Christopher Budd, évangéliste en cybersécurité

La mise à jour du Patch Tuesday de janvier 2026 est surtout remarquable pour ce qui s'est passé APRÈS ce Patch Tuesday. Plus précisément, le 26 janvier 2026, Microsoft a publié hors cycle la vulnérabilité CVE-2026-21509 – une faille de sécurité permettant de contourner une fonctionnalité de Microsoft Office. 

Pour rappel, une publication « hors cycle » de Microsoft signifie que l'entreprise considère l'environnement de menaces lié à la vulnérabilité corrigée comme suffisamment important pour justifier le risque d'une publication hors cycle, tant de sa part que de celle de ses clients. Nous abordons la vulnérabilité CVE-2026-21509 plus en détail ci-dessous. Si vous n'avez pas encore déployé ce correctif, veuillez le faire au plus vite.

Autrement, la mise à jour de janvier est plus modérée en termes de nombre de vulnérabilités corrigées. Après deux mois plus légers en novembre et décembre 2025, elle s'inscrit dans la tendance des mois plus chargés après des mois plus légers. Elle se distingue toutefois par le fait qu'elle n'est pas aussi importante qu'en octobre 2025.

Vous pouvez également constater ci-dessous que cette version n'est pas aussi importante que celle de janvier 2025.

Nous nous penchons sur le Patch Tuesday de janvier 2026 afin de mettre en lumière les informations les plus importantes pour les analystes de menaces et les défenseurs axés sur la gestion des vulnérabilités et la prévention des attaques. 

J'examine les vulnérabilités que j'ai définies comme «notable« en utilisant les critères ci-dessous. » 

Ces critères reposent sur mon expérience de conception et de pilotage des Patch Tuesdays pour Microsoft et d'autres entreprises du secteur. Ils mettent en évidence les vulnérabilités les plus susceptibles d'être exploitées lors d'attaques contre des systèmes non corrigés et qui présentent le plus grand intérêt et la plus grande préoccupation pour les équipes de sécurité.

Par ordre de priorité décroissant, selon les informations fournies par Microsoft au moment de la publication, le correctif hors bande est prévu pour le 13 janvier 2026 et le 26 janvier 2026 :

1. Celles que Microsoft sait être exploitées 
2. Ceux que Microsoft sait être rendus publics
3. Ceux dont le « niveau de gravité » est « critique »
4. Ceux dont l’« évaluation d’exploitabilité » est « plus probable »

Pour chacune des vulnérabilités répondant aux critères ci-dessous, je fournis des informations sur la technologie et sur l'environnement de menaces associé à cette vulnérabilité à la date de rédaction du présent document.

Les vulnérabilités jugées non critiques ne sont pas abordées. Ceci afin de permettre aux équipes de défense de se concentrer sur les menaces les plus importantes de la mise à jour de ce mois-ci. Toutefois, n'oubliez pas que l'environnement des menaces évolue ; des éléments qui, sur le papier, ne semblent pas critiques au moment de la publication peuvent être exploités ultérieurement. En définitive, il est essentiel de déployer toutes les mises à jour appropriées.

Les informations contenues dans cet article sont destinées à vous aider à comprendre et à mieux hiérarchiser les vulnérabilités à corriger dans votre environnement.

Vous trouverez dans l'annexe A la liste complète des bulletins Microsoft de ce mois-ci, avec des hyperliens vers les informations relatives aux vulnérabilités individuelles sur le site web du MSRC.

Principaux résultats

Nombre d'événements indésirables critiques (EIC) : total, gravités critiques/importantes et notables

Informations sur l'environnement des menaces et les exploits

Impacts de la vulnérabilité

CVE notables

Exploité

CVE-2026-21509 – Vulnérabilité de contournement d'une fonction de sécurité de Microsoft Office

Comme nous l'avons indiqué plus haut, il s'agit de la priorité absolue pour les sorties de janvier, même si elle n'est sortie que le 26 janvier 2026.

Rapports publics de Bleeping Computer publiés le 2 février 2026 concernant la vulnérabilité CVE-2026-21509 indiquer que le CERT-UA, l'équipe ukrainienne de réponse aux urgences informatiques (CERT), a attaques observées et signalées dans la nature contre cette vulnérabilité. 

Cette vulnérabilité est répertoriée par Microsoft comme un « contournement de fonctionnalité de sécurité ». Le résumé indique que « le recours à des données non fiables pour une décision de sécurité dans Microsoft Office permet à un attaquant non autorisé de contourner une fonctionnalité de sécurité locale ». La FAQ relative à cette vulnérabilité précise qu'« un attaquant doit envoyer à un utilisateur un fichier Office malveillant et le convaincre de l'ouvrir ».

Au vu des informations publiées concernant cette vulnérabilité et de mon expérience dans la rédaction de bulletins de sécurité pour Microsoft, il est raisonnable d'envisager le scénario d'attaque suivant : les attaquants conçoivent des documents Office destinés à exécuter du code malveillant et spécialement modifiés pour masquer les alertes de sécurité qui s'affichent normalement lors de l'ouverture de tels documents en pièces jointes. Ils envoient ensuite ces documents par courriel, généralement dans le cadre d'attaques très ciblées. Une fois la pièce jointe ouverte et le code malveillant exécuté, ce dernier est présent sur le système et prêt pour la suite de l'attaque. On observe fréquemment ce type de tactique dans des attaques d'espionnage visant à recueillir des informations auprès des cibles.

L'avis du CERT ukrainien confirme ce type d'attaque. À l'heure actuelle, aucune version anglaise de cet avis n'est disponible. Une traduction de Claude de l'avis ukrainien, recoupée et vérifiée avec ChatGPT, décrit la chaîne d'attaque suivante : 

1. Le document s'ouvre → Connexion WebDAV à une ressource externe
2. Télécharge un fichier raccourci contenant un code malveillant
3. Déploie : DLL (« EhStoreShell.dll »), image de shellcode (« SplashScreen.png »), modification du registre par détournement COM, tâche planifiée (« OneDriveHealth »)
4. Arrête/redémarre explorer.exe → charge la DLL → exécute le shellcode → déploie le framework COVENANT
5. C2 via le stockage cloud légitime Filen (filen.io)

Le rapport ukrainien indique qu'ils n'ont constaté qu'un petit nombre d'attaques, ce que Microsoft qualifierait d'« limitées et ciblées ». Ils attribuent ces attaques à APT28, le groupe surtout connu pour son travail derrière le Attaque par courriel contre Hillary Clinton en 2016. 

A examen de la plateforme Flare pour obtenir des informations concernant cette vulnérabilité Aucune information concernant les attaques n'est disponible avant la publication de l'avis du CERT-UA, et aucune discussion n'évoque la vulnérabilité en dehors des publications sur le dark web et Telegram. Ceci est cohérent avec la découverte et l'exploitation précoce d'une telle vulnérabilité par un groupe de cybercriminels comme APT28.

Recherche de Flare sur CVE-2026-21509 (Lien de fusée éclairante, inscrivez-vous au essai gratuit (pour y accéder si vous n'êtes pas déjà client)

Bien que cette vulnérabilité semble pour l'instant se limiter à la catégorie des menaces « ciblées et limitées », nous constatons régulièrement que des failles de sécurité de ce type se propagent rapidement dans le domaine de la cybercriminalité et des usages plus courants. Par conséquent, il est essentiel d'en faire une priorité absolue lors de la mise à jour de vos systèmes.

CVE-2026-20805 – Vulnérabilité de divulgation d'informations dans le Gestionnaire de fenêtres de bureau

Au moment de sa publication, la vulnérabilité CVE-2026-20805 était figurant en tête de liste des vulnérabilités préoccupantes car il s'agissait de la seule vulnérabilité répertoriée comme « exploitée » à ce moment-là.

Cette vulnérabilité est qualifiée d'« importante » par Microsoft, avec un score CVSS de base de 5.5. Il s'agit d'une vulnérabilité de divulgation d'informations, et Microsoft précise dans la FAQ que « le type d'informations qui pourraient être divulguées si un attaquant exploitait avec succès cette vulnérabilité est une adresse de section d'un port ALPC distant, qui correspond à la mémoire en mode utilisateur ».

ALPC est un système « asynchrone » ou « avancé ». appel de procédure locale (LPC)Il s'agit d'une forme de communication interprocessus au sein de la plateforme Windows qui remonte à ses origines.

Dustin Childs, de l'initiative Zero Day de Trend Micro, résume comment cette vulnérabilité peut être exploitée par les attaquants. dans son article : « Cette faille permet à un attaquant de divulguer l'adresse d'une section d'un port ALPC distant. Les acteurs malveillants utiliseraient ensuite cette adresse à l'étape suivante de leur chaîne d'exploitation, probablement pour exécuter du code arbitraire. »

Cela nous indique qu'il s'agit d'une vulnérabilité peu utile prise isolément, mais qui peut s'avérer utile dans le cadre d'une chaîne d'attaques ; il s'agit d'une information importante pour évaluer le risque global et prioriser les correctifs.

Un autre facteur pratique important dans la priorisation des correctifs de sécurité est la compréhension de l'environnement de menace réel et de l'ampleur de son exploitation ou du risque qu'elle représente. 

Au moment de sa publication, Microsoft a indiqué que cette vulnérabilité avait été « exploitée ». Mais comme le souligne Childs de ZDI dans son article : « Microsoft ne donne aucune indication sur l’ampleur de ces exploits, mais compte tenu de leur origine, ils sont probablement limités. »

Une façon d'estimer l'ampleur potentielle de ces exploits consiste à consulter les remerciements relatifs à la vulnérabilité dans la documentation Microsoft. On y trouve la mention du « Microsoft Threat Intelligence Center » et du « Microsoft Security Response Center ». Cela indique que, bien que cette vulnérabilité soit publiquement exploitée, cette exploitation a été découverte par Microsoft, et non par une entité extérieure. Par principe, Microsoft ne publie pas le code d'exploitation des vulnérabilités. De ce fait, on peut supposer que les informations publiques concernant l'exploitation de cette vulnérabilité étaient très limitées au moment de sa publication, et probablement connues uniquement des attaquants et de Microsoft.

Une recherche sur le web public pour « exploit CVE-2026-20805 » sur Google, Bing, DuckDuckGo, Reddit, Mastodon (instance infosec.exchange), GitHub et Bluesky Ce site ne fournit que très peu d'informations sur cette vulnérabilité, hormis l'annonce de sa publication. On ne trouve aucun témoignage direct d'exploitations actives et seulement quelques analyses détaillées de la vulnérabilité par [nom de l'auteur]. Alon Barad sur CVEreports, ainsi Laboratoires de piratage de Penligent.

L'absence d'indications majeures d'activité autour de cette vulnérabilité sur le web ouvert nous laisse penser, comme le souligne Childs, que les exploits pourraient effectivement être limités.

Heureusement, nous avons la possibilité de compléter ces informations publiques avec des renseignements supplémentaires provenant du dark web et de Telegram via Flare, comme indiqué ci-dessous.

Recherche de Flare sur CVE-2026-20805 (Lien de fusée éclairante, inscrivez-vous au essai gratuit (pour y accéder si vous n'êtes pas déjà client)

Cela nous montre un pic d'articles de presse concernant la vulnérabilité aux alentours du jour de la sortie, quelques mentions aléatoires depuis lors, et plus rien du tout depuis le 24 janvier 2026.

En rassemblant toutes les informations que nous avons décrites, nous pouvons établir nous-mêmes une évaluation plus pratique de l'environnement des menaces, en complément des informations fournies par Microsoft le jour de la sortie du produit. 

Cette vulnérabilité était connue pour être exploitée au moment de sa publication. Mais depuis, aucune preuve d'exploitation ultérieure ou de mouvements de code autour de cette vulnérabilité n'a été constatée.

La vulnérabilité elle-même est qualifiée d’« importante ». Mais elle ne sera probablement utile que dans le contexte d’autres vulnérabilités, dans le cadre d’une attaque en chaîne.

Cela nous permet d'avoir une vision plus complexe et nuancée de votre évaluation des risques. Il ne s'agit pas simplement d'une vulnérabilité « exploitée au moment de la mise en production », mais d'une vulnérabilité « exploitée au moment de la mise en production et pour laquelle nous n'avons décelé que très peu d'activité supplémentaire depuis ».

Divulgué publiquement

CVE-2023-31096 – MITRE : CVE-2023-31096 Vulnérabilité d’élévation de privilèges du pilote de modem logiciel Agere pour Windows

Ce correctif résout une vulnérabilité découverte initialement en 2023 affectant le pilote de modem logiciel Agere fourni avec Windows.

Il existe très peu d'informations disponibles sur cette vulnérabilité, même après trois ans de présence dans l'espace public.

Plus important encore, rien n'indique que cet endroit ait déjà été attaqué.

Une recherche sur Flare révèle que, depuis sa création, cette vulnérabilité n'a été mentionnée que huit fois, et ce, uniquement dans le contexte du correctif de sécurité de janvier 2026. Vous pouvez le constater ci-dessous, où l'option « Données d'événement » est définie sur « Toutes les périodes ».

Recherche de Flare sur CVE-2023-31096 (Lien de fusée éclairante, inscrivez-vous au essai gratuit (pour y accéder si vous n'êtes pas déjà client)

Même si cette vulnérabilité est publiquement connue depuis trois ans, vous pouvez intégrer cette connaissance de l'environnement de menace dans votre évaluation des risques et la prioriser en conséquence.

CVE-2026-21265 – Vulnérabilité de contournement de la fonction de sécurité d'expiration du certificat de démarrage sécurisé

Cette vulnérabilité peut être quelque peu trompeuse de par son titre et son étiquetage. 

Cette vulnérabilité (CVE) vise à garantir la mise à jour des certificats numériques qui sous-tendent le démarrage sécurisé de Windows avant leur expiration. Si ces certificats expirent, la capacité du système Windows à recevoir les mises à jour de sécurité est compromise.

Ce problème est « public » car Microsoft en parle depuis plusieurs mois via ce système. article 5062710 de la base de connaissances (KB).

Il est très important d'appliquer cette mise à jour. Cependant, du point de vue de l'évaluation des menaces, elle ne révèle quasiment aucun vecteur d'attaque.

Ceci est corroboré par une recherche sur Flare qui ne révèle que des mentions minimales et automatisées de cette vulnérabilité dans les résumés d'actualités. (C'est pourquoi aucune capture d'écran n'est incluse.)

Critiques

CVE-2026-20944 – Vulnérabilité d'exécution de code à distance dans Microsoft Word, CVE-2026-20952 – Vulnérabilité d'exécution de code à distance dans Microsoft Office, CVE-2026-20953 – Vulnérabilité d'exécution de code à distance dans Microsoft Office, CVE-2026-20955 – Vulnérabilité d'exécution de code à distance dans Microsoft Excel, CVE-2026-20957 – Vulnérabilité d'exécution de code à distance dans Microsoft Excel

Ces cinq vulnérabilités critiques d'Office peuvent être traitées comme un seul et même ensemble. 

Ces cinq vulnérabilités sont toutes liées à la mémoire. Elles sont toutes considérées comme critiques en raison du risque d'exécution de code à partir de fichiers Office malveillants, comme nous l'avons évoqué précédemment concernant… CVE-2026-21509« La proximité des numéros CVE suggère que ces vulnérabilités sont liées ou partagent des caractéristiques communes. »

Il convient de noter que trois des cinq méritent une attention particulière car elles présentent une vulnérabilité liée au volet de prévisualisation. Cela signifie qu'elles peuvent être exploitées lorsqu'un message électronique malveillant s'affiche dans Outlook via le volet de prévisualisation, sans interaction directe. Les trois concernées sont :

• CVE-2026-20944 – Vulnérabilité d'exécution de code à distance dans Microsoft Word
• CVE-2026-20952 – Vulnérabilité d'exécution de code à distance dans Microsoft Office
• CVE-2026-20953 – Vulnérabilité d'exécution de code à distance dans Microsoft Office

Aucune de ces vulnérabilités n'était exploitée ni connue du public au moment de la publication. Une analyse de Flare ne révèle aucune discussion ni activité majeure concernant ces vulnérabilités, bien que la CVE-2026-20952 soit légèrement plus fréquente que les quatre autres.

Comme pour toutes les vulnérabilités critiques d'Office de ce type, toute limitation du compte utilisateur restreindrait les actions de l'attaquant. Cependant, si les utilisateurs disposent de droits d'administrateur, cette mesure ne constitue aucune protection efficace.

CVE-2026-20822 – Vulnérabilité d'élévation de privilèges du composant graphique Windows

Il s'agit d'une vulnérabilité d'élévation de privilèges permettant à un attaquant d'obtenir un contrôle total du système. Cette vulnérabilité résulte d'une condition de concurrence affectant le traitement des fichiers graphiques. 

Un point important à noter, selon Microsoft : « Dans un scénario de paravirtualisation GPU, un attaquant qui exploiterait cette vulnérabilité pourrait franchir le périmètre de sécurité de la machine virtuelle pour accéder à l’environnement hôte. » Cette vulnérabilité est donc particulièrement préoccupante pour Paravirtualisation GPU scénarios.

Il convient de noter que, bien que qualifiée de « critique » en termes de gravité, cette vulnérabilité est considérée comme « moins susceptible d'être exploitée ».

Cette vulnérabilité est très peu évoquée dans l'écosystème de la cybercriminalité.

CVE-2026-20854 – Vulnérabilité d'exécution de code à distance du service LSASS (Windows Local Security Authority Subsystem Service)

Cette vulnérabilité permet à un attaquant d'exécuter du code localement dans le contexte de sécurité du système. Elle résulte d'une condition d'utilisation après libération au sein du service LSASS (Local Security Authority Subsystem Service).

Il convient de noter que ce problème est également considéré comme « critique », mais avec un risque d'« exploitation moins probable ».

Cette vulnérabilité est très peu évoquée dans l'écosystème de la cybercriminalité.

CVE-2026-20876 – Vulnérabilité d'élévation de privilèges dans une enclave de sécurité basée sur la virtualisation Windows (VBS)

Il s'agit d'une autre vulnérabilité locale : un attaquant devrait exécuter du code sur le système vulnérable pour l'exploiter. C'est également une vulnérabilité d'élévation de privilèges (EoP), ce qui signifie qu'un attaquant pourrait l'utiliser pour obtenir des privilèges d'administrateur. De ce fait, elle est plus susceptible d'être exploitée conjointement avec d'autres vulnérabilités plutôt que seule.

Il convient également de noter que cette vulnérabilité est elle aussi considérée comme « critique », mais avec une « probabilité d'exploitation faible ». Et une fois de plus, elle suscite très peu de discussions dans l'écosystème de la cybercriminalité.

Exploitation plus probable

CVE-2026-20922 – Vulnérabilité d'exécution de code à distance sous Windows NTFS, CVE-2026-20840 – Vulnérabilité d'exécution de code à distance sous Windows NTFS

CVE-2026-20843 – Vulnérabilité d'élévation de privilèges du service de routage et d'accès distant (RRAS) de Windows

CVE-2026-20871 – Vulnérabilité d'élévation de privilèges dans le Gestionnaire de fenêtres de bureau

CVE-2026-20860 – Pilote de fonction auxiliaire Windows pour la vulnérabilité d'élévation de privilèges WinSock

CVE-2026-20820 – Vulnérabilité d'élévation de privilèges du pilote du système de fichiers journal commun Windows

CVE-2026-20817– Vulnérabilité d'élévation de privilèges du service de rapport d'erreurs Windows

CVE-2026-20816 – Vulnérabilité d'élévation de privilèges dans Windows Installer

Ce mois-ci, huit vulnérabilités « Importantes » et « À fort potentiel d’exploitation » n’ont pas encore été exploitées ni divulguées publiquement. Toutes huit affectent Microsoft Windows. Deux de ces vulnérabilités permettent l’exécution de code à distance, et les six autres permettent l’élévation de privilèges.

Pour ceux qui souhaitent obtenir plus de détails sur les vulnérabilités d'exécution de code qui affectent toutes deux Windows NTFS, Pietro Melillo a rédigé un article intéressant qui comprend également des informations sur la manière dont les attaquants pourraient chercher à exploiter ces vulnérabilités.

Au-delà de cet article, il n'y a cependant plus aucun mouvement en faveur de l'exploitation de failles ou du développement de codes d'attaque contre aucun de ces systèmes. 

Plusieurs groupes de vulnérabilités

Il est souvent utile de constater que des vulnérabilités similaires, faisant l'objet de corrections, concernent des produits, des technologies ou des fonctionnalités spécifiques. Le tableau ci-dessous présente les occurrences, ce mois-ci, de plusieurs groupes de vulnérabilités.

Annexe A : CVE Microsoft de janvier 2026

Vous trouverez ci-dessous la liste complète des CVE publiées ce mois-ci. Ces données proviennent de… Guide de mise à jour de sécurité du Centre de réponse aux incidents de sécurité Microsoft (MSRC) et contient toutes les CVE publiées le 13 janvier 2026 et le correctif hors bande du 26 janvier 2026. Il ne contient aucune vulnérabilité tierce ou Chromium (Microsoft Edge).

Les données ci-dessous ont été regroupées et triées comme suit :

• Partout où Exploité = Oui
• Tous les cas où l'information est divulguée publiquement = Oui
• Tous les cas où la gravité est critique
• Tous les cas où l'exploitation est plus probable, classés par ordre décroissant de gravité, puis par ordre alphabétique d'impact.
• Tous les cas où l'exploitation est moins probable, classés par ordre décroissant de gravité, puis par ordre alphabétique d'impact.
• Tous les cas où l'exploitation est improbable, classés par ordre décroissant de gravité, puis par ordre alphabétique d'impact.
• Tous les articles restants

Surveiller les menaces émergentes avec des fusées éclairantes

Flare aide les professionnels de la sécurité à anticiper les nouvelles vulnérabilités CVE en surveillant en continu le web classique et le dark web, ainsi que les communautés de cybercriminels, afin de détecter les premiers signes d'exploitation. La base de données de Flare comprend plus de 50 000 chaînes Telegram liées à la cybercriminalité, des centaines de forums de cybercriminalité, des sites de fuites de rançongiciels et des places de marché du dark web, en plus de l'un des ensembles de données d'identité compromises les plus complets du secteur.  

Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.