Patch Tuesday janvier 2026 : 112 failles corrigées dont une zero day

Dans sa dernière salve mensuelle de correctifs, Microsoft a corrigé 112 vulnérabilités dont 8 critiques, et une exploitée affectant Desktop Windows Manager. Deux failles importantes touchant Sharepoint font partie des priorités des responsables sécurité.

Après un modeste Patch Tuesday en décembre dernier avec « seulement » 57 correctifs, Microsoft démarre fort 2026. Pour ce mois de janvier, 112 failles ont été corrigées incluant 8 vulnérabilités critiques et une zero day activement exploitée. Cette CVE-2026-20805 concerne Desktop Windows Manager (DWM) qui donne à un attaquant authentifié localement la possibilité de consulter des informations en mémoire pour affaiblir et s'introduire plus profondément dans les systèmes informatiques. Cette exploitation nécessite un accès local avec des privilèges faibles sans interaction de l'utilisateur, notent les chercheurs d'Action1, ce qui la rend réalisable pour les attaquants déjà présents sur un système.

Pour les entreprises, ce problème augmenter le risque d’attaques multiples réussies, selon Jack Bicer, directeur de la recherche sur les failles chez Action 1.Les détails de la mémoire divulgués peuvent être combinés avec d'autres vulnérabilités pour obtenir une élévation de privilèges ou déboucher sur du vol de données, ce qui peut entraîner une compromission système plus large et d’autres risques (réglementaire, perte de confiance...). Si le correctif ne peut pas être appliqué immédiatement, les administrateurs doivent limiter l'accès local, appliquer des politiques de privilèges minimaux et surveiller de près les systèmes pour détecter toute activité locale suspecte. « Du point de vue des risques, ce problème doit être considéré comme un catalyseur d'attaques plutôt que comme une faille isolée » averti M. Bicer. De son côté, Satnam Narang, ingénieur de recherche senior chez Tenable, a qualifié DWM de « grand habitué » du patch tuesday, avec 20 CVE corrigés dans cette bibliothèque depuis 2022. Mais, a-t-il ajouté, c'est la première fois que les chercheurs constatent qu'un bug de divulgation d'informations dans ce composant est exploité dans la nature.

Deux failles dans Sharepoint à surveiller

La plupart des vulnérabilités les plus graves touchent les produits Office, en particulier SharePoint qui a obtenu 5 correctifs dont deux importantes ayant obtenu un score CVSS de 8.8. « La compromission de SharePoint par des APT chinoises l'année dernière pour déployer ToolShell contre des entreprises devrait servir d'avertissement : les vulnérabilités liées à SharePoint et Office peuvent rapidement devenir très prisées des acteurs malveillants », a fait remarquer Nick Carroll, responsable de la réponse aux cyberincidents chez Nightwing. Concernant les deux failles au score CVSS de 8.8 permettant à un attaquant d'exécuter du code sur un réseau, la première (CVE-2026-20947) est de type neutralisation incorrecte d'éléments spéciaux utilisés dans une commande SQL (injection SQL. La seconde (CVE-2026-20963) concerne la désérialisation de données non fiables. Une autre également à la sévérité de 8.8 à corriger est la CVE-2026-20868 qui concerne le service de routage et d'accès à distance Windows. Il s'agit d'un débordement de mémoire tampon entraînant l'exécution du code sur un réseau. Il existe également un correctif pour une faille moins grave dans ce service (CVE-2026-20843) qui ouvre la voie à une élévation de privilèges.

Ce mois-ci, les responsables sécurité devraient également donner la priorité aux efforts de correction rapide et de réduction des risques liés aux failles suivantes : exécution de code à distance dans le service Windows Local Security Authority Subsystem, élévation des privilèges dans les composants graphiques Windows et dans l'enclave de sécurité basée sur la virtualisation Windows, selon M. Bicer. Car ces problèmes compromettent directement l'intégrité du système ou la confiance. Selon lui, les priorités stratégiques devraient inclure l'accélération du déploiement de correctifs pour les failles critiques et importantes, la réduction des accès locaux inutiles, le renforcement des chemins d'authentification et la surveillance étroite des comportements anormaux d'élévation des privilèges. « La vulnérabilité Desktop Window Manager doit être traitée en parallèle en raison de son exploitation confirmée et de son rôle dans la mise en place d'attaques en chaîne », poursuit-il.

Anticiper l'expiration des certificats Secure Boot

Les experts en sécurité ont également attiré l'attention sur l'avertissement de Microsoft selon lequel certains certificats Secure Boot émis en 2011 expireront en juin ou en octobre prochain si les mises à jour incluses dans ce patch tuesday ne sont pas installées. Les détails sont disponibles dans le bulletin relatif à la CVE-2026-21265. Secure Boot empêche le chargement de codes malveillants pendant le processus de démarrage de Windows ; les systèmes qui ne sont pas mis à jour à temps peuvent devenir vulnérables aux contournements de Secure Boot. Chris Goettl, vice-président de la gestion des produits chez Ivanti, a qualifié cela de « bombe à retardement pour la sécurité des entreprises, à laquelle les équipes informatiques doivent s'attaquer dès maintenant avant d'être confrontées à de graves problèmes opérationnels ». De plus, Tyler Reguly, directeur adjoint de la R&D chez Fortra, a fait remarquer que la documentation Microsoft sur les correctifs pour les certificats expirés ne tient pas sur une seule page, mais contient une multitude de liens, y compris un guide de déploiement complet destiné aux responsables IT. « Avec moins de six mois pour se préparer, il est temps de s'assurer que les environnements et les équipes sont prêts pour cette mise à jour », a-t-il déclaré.

Tyler Reguly a également déclaré que l'une des mises à jour à considérer avec le plus d’attention ce mois-ci pallie un souci d'élévation de privilèges (CVE-2023-31096) du pilote de modem Windows Agere Soft. « Il est rare de voir apparaître un CVE datant d'il y a trois ans, mais Microsoft est enfin en train de régler un problème qui existe depuis un certain temps », a-t-il déclaré. Ce pilote est fourni avec Windows, mais selon le chercheur en sécurité Christian Schwarz, il est obsolète depuis 2016. La solution à cette faille consiste simplement à supprimer les pilotes concernés, agrsm64.sys et agrsm.sys, des systèmes. Nick Carroll, responsable de la réponse à incident chez Nightwing, estime que les responsables de la sécurité devraient s'attacher à corriger les vulnérabilités qui, selon Microsoft, sont les plus susceptibles d'être exploitées. A savoir :

- Une gestion incorrecte des autorisations dans Windows Error Reporting (CVE-2026-20817) qui pourrait permettre à un attaquant autorisé d'élever ses privilèges localement ;

- Un débordement de tampon dans Windows Common Log File System Driver (CVE-2026-20820) qui pourrait permettre à un attaquant autorisé d'élever ses privilèges localement ;

- Un débordement de tampon pouvant conduire à des attaques de code à distance dans Windows NTFS (CVE-2026-20840). Il s'agit de l'un des deux problèmes NTFS signalés ce mois-ci, a noté Kev Breen, directeur principal de la recherche sur les cybermenaces chez Immersive. Si les détails techniques sont rendus publics, cela pourrait devenir une vulnérabilité n-day, a-t-il averti, créant une fenêtre étroite dans laquelle les services informatiques peuvent appliquer des correctifs avant que l'exploitation ne se généralise ;

- Un problème avec le pilote de fonction auxiliaire Windows pour WinSock qui peut permettre à un attaquant autorisé d'élever ses privilèges localement (CVE-2026-20860) ;

- Un problème d'élévation de privilèges dans Desktop Windows Manager (CVE-2026-20871) ;

- Une vulnérabilité d'exécution de code à distance dans Windows NTFS (CVE-2026-20922).

SAP et Mozilla dégainent aussi leurs patchs

En parallèle de ce patch tuesday de Microsoft, SAP a publié 19 correctifs de sécurité. L'un des plus importants concerne une vulnérabilité critique d'injection SQL dans S/4HANA Private Cloud et On-Premise (Finances – Grand livre), d’un score CVSS de 9. 9. Son exploitation peut conduire à la compromission totale du système par des utilisateurs disposant de faibles privilèges. En outre, une faille d'injection de code (score CVSS 9.1) a été corrigée dans S/4HANA Private Cloud et On-Premise.

Mozilla a également lancé ses patchs. Les chercheurs d'Ivanti notent que l’éditeur a publié trois mises à jour pour Firefox et Firefox ESR, résolvant au total 34 CVE. Les trois mises à jour ont un niveau d'impact élevé. Deux des CVE auraient été exploitées (CVE-2026-0891 et CVE-2026-0892). Elles sont toutes deux corrigées dans Firefox 147 (MFSA2026-01), mais la CVE-2026-0891 l’a aussi été dans Firefox ESR 140.7 (MFSA2026-03).