Secu
Windows Server est attaqué à grande échelle. Microsoft publie un correctif en urgence !
Par Laurent Delattre, publié le 27 octobre 2025
Week-end ou pas, les administrateurs Windows Server n’auront pas eu de répit. Une faille critique dans WSUS (CVE-2025-59287) secoue le monde IT : Microsoft lâche un patch d’urgence pour stopper une vague d’attaques déjà en cours.
Alors qu’en France, DSI et RSSI prenaient le chemin de leur foyer et espéraient souffler le temps d’un week-end allongé d’une heure (suite au passage à l’heure d’hiver), Microsoft publiait en urgence un correctif hors cycle pour une nouvelle faille critique sur Windows Server. Un correctif « hors cycle », autrement dit hors du fameux « Patch Tuesday » mensuel, n’est jamais bon signe. Quand Microsoft se précipite ainsi, c’est non seulement que la faille est grave mais aussi qu’elle est déjà très largement exploitée par les cyberattaquants.
Et c’est exactement le cas de la faille CVE-2025-59287, que ce correctif aussi inattendu qu’urgent vient corriger. Cette faille, qui affecte le stratégique service WSUS (Windows Server Update Services), est une vulnérabilité de type « exécution de code à distance » avec un score CVSS de dangerosité de 9,8 sur dix ! Dit autrement, la faille est hyper critique et doit être impérativement et immédiatement patchée !
La faille transforme WSUS en Cheval de Troie
Pour rappel, WSUS (Windows Server Update Services) est l’outil de Microsoft qui permet aux administrateurs de centraliser, tester et déployer les mises à jour de sécurité et correctifs sur l’ensemble des postes et serveurs d’un réseau. Ce service est critique car, s’il est compromis, il devient une porte d’entrée idéale pour diffuser du code malveillant à grande échelle via le même mécanisme censé protéger l’infrastructure.
Techniquement, la faille WSUS permet à un attaquant non authentifié d’envoyer un objet spécialement conçu qui déclenche une désérialisation non sécurisée, ouvrant la voie à une prise de contrôle complète du serveur. Dit autrement, un serveur WSUS reçoit normalement des « objets » ou messages techniques pour gérer les mises à jour. La faille permet à un pirate d’envoyer un faux objet, fabriqué de manière à tromper le serveur. Ce dernier, au lieu de le rejeter, essaie de le « déballer » et de l’interpréter comme s’il s’agissait d’un message normal. C’est ce qu’on appelle une désérialisation : transformer des données en un objet utilisable par le programme. Résultat : le pirate peut glisser dans ce faux objet des instructions cachées. Quand le serveur les exécute, il ouvre sans le vouloir la porte à l’attaquant, qui peut alors prendre le contrôle total de la machine. En résumé : c’est comme si le serveur recevait un colis piégé. Il croit déballer un paquet de mises à jour, mais, en réalité, il ouvre une boîte qui contient les clés de sa propre maison.
Il faut agir très très vite
On comprend la gravité de la situation. D’autant que WSUS – même s’il n’évolue désormais plus, remplacé par Intune – demeure un service très populaire et présent dans bien des entreprises utilisant des serveurs Windows Server et des postes Windows. Plusieurs chercheurs en cybersécurité ont confirmé que des attaques étaient déjà en cours. « Nous nous attendons à voir cette vulnérabilité figurer très vite dans le catalogue des failles activement exploitées de la CISA, car de plus en plus d’organisations sont touchées » écrivait vendredi soir sur X l’un des chercheurs du labo Horizon3.
De fait, l’agence américaine de cybersécurité CISA (l’équivalent US de notre ANSSI) a immédiatement ajouté CVE-2025-59287 à sa liste noire, publié une alerte urgente et a donné deux semaines max aux agences fédérales américaines pour appliquer le correctif, tout en exhortant les autres organisations à agir sans délai.
La virulence des attaques est telle que la plupart des éditeurs de sécurité enjoignent les administrateurs réseaux à immédiatement bloquer le trafic entrant sur les ports TCP/8530 et TCP/8531 avant de s’attaquer au correctif, afin de limiter les risques dans l’urgence avant de planifier la remédiation. Microsoft invite également à désactiver le service WSUS sur tous les serveurs Windows qui en sont équipés. Et de ne surtout pas annuler ces mesures urgentes avant d’avoir totalement implémenté le nouveau correctif (qui impose de redémarrer les serveurs).
La situation est d’autant plus préoccupante qu’un code d’exploitation fonctionnel circule désormais publiquement. Par ailleurs l’attaque ne présente aucune complexité, ne nécessite aucune interaction utilisateur et peut être lancée à distance depuis Internet. En outre, un seul serveur compromis peut servir de tremplin pour infecter toute une flotte de machines.
Un premier patch insuffisant
Histoire de rendre la situation encore plus critique, Microsoft reconnaît avoir diffusé un premier patch pour contrer cette vulnérabilité lors du dernier Patch Tuesday. Mais que ce correctif est inefficient. Pire encore, certains analystes pensent que c’est justement la publication de ce premier correctif qui a mis la puce à l’oreille des cyberattaquants et engendré la salve de cyberattaques actuelles sur cette faille.
« Nous avons dû republier ce correctif après avoir identifié que la mise à jour initiale ne corrigeait pas complètement le problème », explique un porte-parole de Microsoft. La firme recommande d’installer immédiatement la mise à jour hors bande, disponible pour toutes les versions de Windows Server encore supportées (Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025), et de redémarrer les systèmes concernés.
Bref, la situation est critique. Les DSI et RSSI français, qui reprennent le travail ce Lundi et nous lisent, doivent prendre immédiatement les mesures qui s’imposent. Plusieurs éditeurs ont publié des billets d’alertes précisant que « Windows Server est sous attaque » à l’échelon mondial, dans les datacenters des entreprises comme dans les clouds. Difficile dans ses conditions de vous souhaiter un bon Lundi… Mais bon courage !
Le correctif « Out of Band » est à télécharger depuis la page de support du MSRC :
CVE-2025-59287 – Guide des mises à jour de sécurité – Microsoft – Vulnérabilité d’exécution de code à distance dans le service Windows Server Update Service (WSUS)
À LIRE AUSSI :
À LIRE AUSSI :
