Dans la foulée de CVE-2025-66516, la vulnérabilité XXE Apache Tika de gravité maximale, quelques autres failles de sécurité ont émergé dans les produits Windows. Dans sa mise à jour de sécurité de décembre 2025, Microsoft a résolu 57 vulnérabilités, dont deux zero-days, CVE-2025-62221 et CVE-2025-54100.

Les technologies de Microsoft soutiennent une grande part de l’infrastructure numérique mondiale, rendant la sécurité de son écosystème particulièrement critique. Le Rapport sur les vulnérabilités Microsoft 2025 de BeyondTrust note que 2024 a établi un nouveau record avec 1 360 vulnérabilités Microsoft divulguées – une augmentation de 11 % par rapport à l’année précédente – avec Elevation of Privilege (EoP) et RCE problèmes se démarquant comme les plus sévères. Cette tendance s’est poursuivie en 2025, Tenable notant que Microsoft a livré des correctifs pour 1 129 CVEs en 2025— la deuxième année consécutive où l’entreprise a dépassé le seuil des mille vulnérabilités. Dans le déploiement du Patch Tuesday de décembre 2025, les failles EoP représentaient la moitié de toutes les vulnérabilités adressées, avec des vulnérabilités RCE représentant environ un tiers (33,9%). Les zero-days mentionnés ci-dessus abordés dans le Patch Tuesday de décembre 2025 s’inscrivent également dans ces catégories de menaces. 

Inscrivez-vous à la plateforme SOC Prime, la première plateforme d’intelligence de détection native de l’IA pour la défense en temps réel, afin d’explorer une collection de plus de 600 000 règles de détection adressant les dernières menaces et d’équiper votre équipe avec l’IA et une expertise en cybersécurité de pointe. Cliquez sur Explorez les Détections pour accéder à l’ensemble étendu de règles pour la détection d’exploitation de vulnérabilités, préfiltré à l’aide du tag personnalisé « CVE ».

Explorez les Détections

Toutes les règles de détection peuvent être utilisées sur plusieurs plateformes SIEM, EDR et Data Lake et sont alignées avec le dernier cadre MITRE ATT&CK® v18.1. Explorez l’intelligence des menaces native de l’IA, y compris CTI références, chronologies des attaques, configurations d’audit, recommandations de triage, et plus de contexte de menace enrichissant chaque règle.

Les équipes de sécurité peuvent également réduire considérablement les frais généraux d’ingénierie de détection avec Uncoder AI en convertissant instantanément la logique de détection dans plusieurs formats de langue pour une meilleure précision de la traduction, en créant des détections à partir de rapports de menaces bruts, en visualisant les flux d’attaque, en accélérant l’enrichissement et l’affinement tout en rationalisant les flux de travail de validation. 

Analyse de CVE-2025-62221 et CVE-2025-54100

Microsoft clôture l’année en publiant des correctifs pour 57 vulnérabilités de sécurité dans les produits Windows couverts dans sa mise à jour de sécurité de décembre 2025, y compris deux zero-days avec un score CVSS de 7,8, CVE-2025-62221 et CVE-2025-54100.

La faille exploitée activement, CVE-2025-62221, est une vulnérabilité d’élévation de privilèges use-after-free dans le pilote de filtre Mini Files Cloud de Windows qui permet à un attaquant local authentifié d’élever les privilèges à SYSTEM. En exploitant cette faille, les adversaires peuvent obtenir un contrôle total des systèmes Windows affectés sans interaction de l’utilisateur, bien qu’un accès local soit requis.

Le fournisseur a confirmé l’exploitation active de 2025-62221 dans la nature; cependant, les méthodes d’attaque spécifiques restent non divulguées. La vulnérabilité impacte les systèmes avec le minifiltre Files Cloud, qui est présent même si des applications comme OneDrive, Google Drive ou iCloud ne sont pas installées. 

En raison des risques croissants d’exploitation, la CISA a récemment ajouté CVE-2025-62221 à son catalogue KEV, exigeant que les agences de la branche exécutive civile fédérale appliquent la mise à jour d’ici le 30 décembre 2025. 

Un autre zero-day, CVE-2025-54100, est une faille RCE dans PowerShell de Windows qui permet aux attaquants non authentifiés d’exécuter du code arbitraire s’ils peuvent amener un utilisateur à exécuter une commande PowerShell spécialement conçue, par exemple via Invoke-WebRequest.

Le risque devient plus prononcé lorsqu’il est associé à des tactiques d’ingénierie sociale courantes : les adversaires pourraient tromper un utilisateur ou un administrateur pour qu’il exécute un extrait PowerShell qui récupère du contenu malveillant à partir d’un serveur distant, déclenchant un bogue d’analyse et permettant l’exécution de code ou la livraison d’implants. Bien que le problème soit connu publiquement, Microsoft ne signale aucune exploitation active et évalue actuellement la probabilité d’exploitation comme faible. La faille ne nécessite aucun privilège mais repose sur l’interaction de l’utilisateur, faisant de l’ingénierie sociale le chemin d’attaque le plus probable.

Comme mesures potentielles de mitigation des  2025-62221 et CVE-2025-54100, les organisations qui dépendent des produits Windows correspondants sont priées d’appliquer immédiatement les correctifs. Avec la plateforme d’intelligence de détection native de l’IA de SOC Prime, les équipes SOC peuvent se procurer le contenu de détection du plus grand dépôt actualisé, adopter sans effort la chaîne complète de détection à simulation dans leurs processus de sécurité, orchestrer les flux de travail dans leur langue naturelle et naviguer en douceur dans le paysage de menace en constante évolution tout en renforçant les défenses à grande échelle.