Patch Tuesday février 2026 : 59 failles corrigées dont 5 critiques

Dans sa dernière salve de correctifs, Microsoft a patché 59 failles dont 6 sont exploitées et 5 classées critiques. Bonne nouvelle : ces problèmes sont faciles à résoudre et ne nécessite aucune configuration après leur application.

Après un patch tuesday de janvier conséquent, février est plus calme sur le front des failles de sécurité affectant les systèmes et solutions Microsoft. Dans sa dernière salve mensuelle de correctifs, l'éditeur a en effet comblé « seulement » 59 failles, dont 6 exploitées et 5 critiques. D'après Tyler Reguly, directeur adjoint de la R&D chez Fortra, ces problèmes sont faciles à résoudre grâce à ces correctifs, et aucun d'entre eux ne nécessite de configuration supplémentaire après installation. Néanmoins, les RSSI doivent savoir que, sur les six failles exploitées, trois impliquent un contournement des fonctionnalités de sécurité à savoir les CVE-2026-21510, CVE-2026-21513, et CVE-2026-21514. Satnam Narang, ingénieur de recherche senior chez Tenable, a déclaré que celles-ci devraient figurer en tête de liste des mesures à prendre par les responsables de la sécurité. « Les mécanismes de protection que ces vulnérabilités contournent constituent souvent la première ligne de défense empêchant les utilisateurs d'ouvrir des pièces jointes malveillantes », a-t-il expliqué. « Ils fonctionnent comme des gardiens, à l'image de Heimdall protégeant Asgard [ndlr : dans la mythologie nordique]. »

Zoom sur les failles exploitées

En premier lieu, la CVE-2026-21510 est une faille dans le mécanisme de protection de Windows Shell donnant à un pirate la capacité de contourner une fonction de sécurité sur un réseau. Pour l'exploiter, ce dernier doit convaincre un utilisateur d'ouvrir un lien ou un fichier raccourci malveillant. Il peut alors contourner les invites de sécurité SmartScreen et Shell en exploitant une gestion incorrecte des composants de ce dernier. Il ouvre ainsi la voie à l'exécution du contenu qu'il contrôle sans avertissement ni consentement de l'utilisateur. Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, affirme qu'il s'agit du risque le plus urgent pour les réseaux Windows. « L'exploitation active confirmée démontre que les adversaires tirent parti de cette faiblesse pour diffuser des logiciels malveillants et des charges utiles à grande échelle », a-t-il déclaré à CSO. « Windows Shell étant universellement utilisé dans les entreprises, cette faille sape considérablement les contrôles de confiance des utilisateurs et augmente considérablement l'efficacité des campagnes de phishing. »

En second lieu, la CVE-2026-21513 contourne la sécurité du framework MSHTML. Une défaillance du mécanisme de protection de cet environnement donne à un attaquant la capacité de contourner une fonction de sécurité sur un réseau. Il pourrait exploiter cette faille en convainquant un utilisateur d'ouvrir un fichier HTML malveillant ou un fichier de raccourci (.lnk) transmis via un lien, une pièce jointe à un e-mail ou un téléchargement. Le fichier spécialement conçu manipule le navigateur et le traitement Windows Shell, ce qui entraîne l'exécution de son contenu par le système d'exploitation. Cela permet à l'attaquant de contourner les fonctionnalités de sécurité et potentiellement d'exécuter du code. Par ailleurs, la vulnérabilité CVE-2026-21514 contourne les mesures d'atténuation OLE dans Microsoft 365 et Office qui protègent les utilisateurs contre les contrôles COM/OLE vulnérables. Pour l'exploiter, un attaquant doit envoyer à un utilisateur un fichier Office malveillant et le convaincre de l'ouvrir, sachant que l'éditeur précise que son volet d'aperçu (preview pane) n'est pas un vecteur d'attaque.

Deux autres failles activement exploitées sont également préoccupantes car elles débouchent sur une possible élévation des privilèges d'accès système. Il s'agit des CVE-2026-21519 affectant Desktop Windows Manager, ainsi que la CVE-2026-21533, une vulnérabilité dans la gestion des privilèges des services bureau à distance Windows. Enfin, le dernier exploit, CVE-2026-21525, de type DoS, cible le gestionnaire de connexion d'accès à distance Windows. Chris Goettl, vice-président de la gestion des produits chez Ivanti, souligne que cette vulnérabilité affecte toutes les versions actuellement supportées par ESU de Windows (donc la version 10). Une méthodologie de hiérarchisation basée sur les risques justifie de traiter cette vulnérabilité comme ayant un niveau de gravité plus élevé que la note attribuée par le fournisseur ou le score CVSS, a prévenu le directeur.

Des failles Azure aussi à traiter en urgence

Concernant les autres vulnérabilités identifiées dans le Patch Tuesday, Jack Bicer d'Action1, en a souligné deux qui concernent les environnements cloud Azure. Il a déclaré que les RSSI devraient veiller à ce que les équipes cloud traitent de toute urgence : la CVE-2026-21522, un problème d'injection de commande dans Azure Compute Gallery et plus exactement dans les charges de travail des conteneurs en environnement de confidential computing. Bien qu'aucune exploitation n'ait encore été observée dans la nature, M. Bicer a déclaré que le code du PoC confirmait l'exploitabilité dans le monde réel qui remet selon lui en question les hypothèses de la confiance envers l'informatique confidentielle. De son côté, la CVE-2026-23655 concerne le stockage en clair d'informations sensibles dans Azure Compute Gallery permettant à un attaquant autorisé de divulguer des informations sur un réseau. M. Bicer a expliqué que, si elle n'était pas comblée, celle-ci pourrait créer des voies potentielles pour une compromission plus large du cloud, même sans exploitation active.

Kev Breen, directeur principal de la recherche sur les cybermenaces chez Immersive, a souligné quant à lui que des correctifs concernent GitHub Copilot et plusieurs IDE, notamment VS Code, Visual Studio et les produits JetBrains. Selon lui, l'assistant IA de Microsoft, Copilot est intégré à ces environnements de développement et les vulnérabilités proviennent d'une faille d'injection de commande qui peut être déclenchée par une injection de prompt. En pratique, un pirate pourrait donc intégrer un prompt malveillant dans une base de code, ce qui conduirait à l'exécution de code à distance si un développeur ou un pipeline CI/CD utilise un workflow d'agent qui exécute les commandes contenues dans le prompt. Avec pour conséquence de contourner les restrictions normales et amener les composants backend ou les outils intégrés à exécuter des commandes non prévues. Les développeurs sont des cibles de grande valeur pour les acteurs malveillants car ils ont souvent accès à des données sensibles telles que des clés API et des secrets qui fonctionnent comme des clés pour des infrastructures critiques, notamment des clés API AWS ou Azure privilégiées. Lorsque les entreprises proposent aux développeurs et aux pipelines d'automatisation d'utiliser des LLM et l'IA agentique, un prompt malveillant peut avoir un impact significatif. « Cela ne signifie pas que les organisations doivent cesser d'utiliser l'IA », a expliqué M. Breen. « Cela signifie que les développeurs doivent comprendre les risques, que les équipes doivent clairement identifier les systèmes et les flux de travail qui ont accès aux agents IA, et que les principes du moindre privilège doivent être appliqués pour limiter l'ampleur des dégâts si les secrets des développeurs sont compromis. »