Agence américaine pour l'infrastructure et la cybersécurité. États-Unis (CISA) a alerté les agences gouvernementales pour la vulnérabilité critique sur Windows qui, s'il n'est pas corrigé, permet à un attaquant local d'écheller les privilèges au niveau SYSTÈME et prise de contrôle de l'équipement. L'échec, enregistré comme CVE-2025-60710, affecte les composants centraux du système d'exploitation et a été corrigé par Microsoft en novembre 2025, mais CISA avertit que le risque nécessite une réponse rapide.
Le problème réside dans le processus connu sous le nom de Task Host, un composant interne de Windows qui agit comme un conteneur pour les processus basés sur DLL. Votre fonction est de permettre à ces DLL de fonctionner en arrière-plan et de s'assurer qu'ils ferment correctement lorsque vous éteignez le système, évitant ainsi la corruption de données. La vulnérabilité est liée à une faiblesse de type "lien suivant", c'est-à-dire avec la résolution de liens symboliques ou de retouches avant d'accéder à un fichier, qui peut être utilisé par un utilisateur avec les permissions de base pour forcer le système à ouvrir ou modifier des ressources qu'il ne devrait pas.
Microsoft décrit que la source de l'échec se trouve dans la résolution des liens avant la lecture ou l'ouverture des fichiers par le processus de tâche hôte. Cette condition permet à un compte non privilégié d'effectuer une attaque à faible complexité et, au pire, de lever ses privilèges jusqu'à ce qu'il prenne des mesures avec les permis du système. Pour plus de détails techniques sur ce type de faiblesse, la classification CWE correspondante devrait être revue: CWE-59 (lien suivant).
Lundi dernier CISA a ajouté ce CVE à son liste des vulnérabilités activement exploitées et, en application de la DBO 22-01 novembre 2021, a fixé une période de deux semaines pour les organismes civils fédéraux afin d'assurer leur environnement. L'inclusion dans le catalogue de la CISA implique souvent cette obligation de réhabilitation accélérée; la liste publique elle-même est disponible dans le catalogue de vulnérabilités exploitées.
Ni CISA ni Microsoft n'ont publié jusqu'à présent de détails sur des attaques spécifiques liées à cet échec: l'agence américaine n'a pas communiqué d'indicateurs d'engagement et Microsoft n'a pas encore mis à jour son avis public pour confirmer l'exploitation active dans la nature. Malgré cela, l'avertissement est clair : ce type de vecteurs - l'échec dans la résolution des liens qui permettent de couper la chaîne des privilèges - est commun dans les campagnes malveillantes et représente un risque élevé pour l'environnement fédéral et les entreprises.
La recommandation officielle est forte : appliquer les corrections fournies par le fabricant et, le cas échéant, mettre en œuvre les mesures d'atténuation mentionnées. La CISA se réfère également aux instructions de la DBO 22-01 lorsque la charge vulnérable est dans les services en nuage et rappelle que, s'il n'y a pas d'atténuation pratique, il faut envisager d'interrompre l'utilisation du produit concerné jusqu'à ce qu'il soit sécuritaire. La directive BOD 22-01 peut être consultée sur le site Web de l'agence : BOD 22-01.
Cet avis s'inscrit dans le contexte de plusieurs actions récentes de CISA et de Microsoft : l'agence a exigé des réparations urgentes pour d'autres vulnérabilités activement exploitées dans des produits tiers, et Microsoft a déployé ses mises à jour mensuelles qui en avril 2026 incluaient des corrections pour plus de 100 défaillances, y compris une partie de gravité critique. Le guide de mise à jour de Microsoft et les avis de sécurité du fabricant sont des sources essentielles pour planifier la réponse: MSRC - CVE-2025-60710.
Si vous gérez des équipements ou des infrastructures, l'action prioritaire devrait être de vérifier l'état des correctifs sur tous les systèmes sensibles Windows 11 et Windows Server 2025 et d'appliquer les mises à jour de novembre 2025 qui corrigent ce défaut. En outre, les configurations des comptes, les politiques d'accès et les registres d'événements devraient être examinés à la recherche d'activités inhabituelles qui pourraient indiquer des tentatives d'escalade. Il ne suffit pas de se garer : une stratégie défensive en couches - surveillance, segmentation des réseaux, contrôles d'intégrité et privilèges minimums - réduit l'impact si un attaquant parvient à échapper au contrôle.
En termes pratiques, l'avertissement de la CISA doit être interprété comme un rappel que les vulnérabilités qui permettent de gravir les privilèges sont particulièrement dangereuses à travers la porte qu'ils ouvrent : à partir d'un compte non privilégié, vous pouvez finir avec le contrôle total du système. Voilà pourquoi. la vitesse d'application du patch et le contrôle de l'inventaire sont des mesures clés pour minimiser les risques pendant que les organisations examinent leurs défenses et leurs procédures.
Pour tout agent de sécurité ou gestionnaire, l'itinéraire est clair : confirmer l'exposition aux actifs, déployer les mises à jour publiées par Microsoft, suivre les guides et les mesures d'atténuation recommandés par CISA et Microsoft, et maintenir une surveillance active pour détecter les comportements anormaux. Consulter les sources officielles liées à ce texte est un bon point de départ pour s'assurer que les décisions sont fondées sur les informations les plus récentes et fiables.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...