Alerte CISA : Vulnérabilités Critiques PowerPoint et HPE à l’Exploitation en 2026
Théophane Villedieu
Une faille de sécurité de Microsoft PowerPoint, âgée de 16 ans, et une nouvelle vulnérabilité de sévérité maximale chez Hewlett Packard Enterprise (HPE) viennent d’être ajoutées au catalogue des vulnérabilités connues exploitées (KEV) de l’agence américaine CISA. Cette inclusion tardive souligne un principe fondamental de la cybersécurité : une vulnérabilité, même ancienne, ne meurt jamais vraiment tant qu’elle reste présente dans des environnements non patchés.
L’ajout de ces deux failles, CVE-2009-0556 et CVE-2025-37164, marque les premières entrées de l’année 2026 dans le registre KEV. Alors que CVE-2025-37164 est une vulnérabilité récente et critique dans la suite de gestion HPE OneView, CVE-2009-0556 est une vieille faille de type Code Injection dans PowerPoint 2000/2003 qui refait surface. Cet événement doit servir d’éveil pour les équipes de sécurité en France et à l’international, rappelant l’importance vitale de la gestion rigoureuse des correctifs et de la surveillance continue des actifs informatiques.
Pourquoi ces vulnérabilités sont-elles ajoutées au catalogue KEV ?
Le catalogue Known Exploited Vulnerabilities (KEV) de la CISA est une référence incontournable pour prioriser les correctifs. Il ne liste pas toutes les failles, mais uniquement celles pour lesquelles des preuves d’exploitation active existent. L’ajout de CVE-2025-37164 et CVE-2009-0556 confirme que des attaquants exploitent activement ces faiblesses dans la nature.
La réalité du risque des anciennes vulnérabilités
Il peut sembler surprenant de voir une faille datant de 2009, comme celle de PowerPoint, réapparaître dans un avertissement de sécurité moderne en 2026. Pourtant, la CISA a l’habitude d’inclure des failles anciennes si elles réapparaissent dans des campagnes d’attaque récentes. L’agence avait déjà ajouté une faille d’Excel de 2007 l’année dernière. La plus ancienne du catalogue reste CVE-2002-0367, utilisée par des groupes de rançongiciels et de cybercriminalité organisée.
Cela démontre que les environnements hérités (legacy) constituent un terrain de jeu privilégié pour les cybercriminels. Tant que les systèmes ne sont pas mis à jour, ils restent des cibles viables.
Une année 2026 qui commence fort
Après 245 vulnérabilités ajoutées en 2025, l’année 2026 démarre avec deux entrées majeures. Le fait que ces deux failles aient été ajoutées simultanément met en lumière la diversité des vecteurs d’attaque : d’un côté, une solution d’infrastructure critique (HPE OneView), de l’autre, un outil bureautique omniprésent (PowerPoint).
CVE-2025-37164 : Une porte ouverte vers HPE OneView
La vulnérabilité la plus récente, CVE-2025-37164, est classée avec un score de sévérité CVSS de 10.0, le maximum absolu. Elle affecte le logiciel de gestion d’infrastructure informatique HPE OneView.
Nature de la faille et impact
Il s’agit d’une faille d’injection de code (Code Injection) qui permet à un utilisateur distant non authentifié d’effectuer une exécution de code à distance (RCE). En clair, un attaquant n’a pas besoin d’avoir des identifiants pour compromettre le système ; une simple connexion réseau suffit pour injecter du code malveillant et prendre le contrôle.
HPE a confirmé que cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire sur le serveur affecté. C’est une menace directe pour les administrateurs système qui gèrent des fermes de serveurs via cette solution.
Le rôle crucial du Proof of Concept (PoC)
L’ajout de cette faille au catalogue KEV a été precipité par la publication d’un Proof of Concept (PoC) exploit par l’éditeur de sécurité Rapid7 le 19 décembre 2025. Lorsqu’un PoC devient public, le risque d’attaque à grande échelle augmente considérablement car les outils d’attaque automatisés peuvent l’intégrer rapidement.
Rapid7 a également publié un module Metasploit pour CVE-2025-37164, rendant l’exploitation encore plus accessible pour les script kiddies et les groupes de cybercriminalité organisée.
Confusion sur les versions affectées
Un point de friction subsiste concernant l’étendue des versions vulnérables. L’avis de HPE indique que toutes les versions de 5.20 à 10.20 sont concernées. Cependant, l’analyse de Rapid7 suggère une nuance importante :
- Seule la version “HPE OneView for VMs” en 6.x semble vulnérable.
- Toutes les versions non corrigées de “HPE OneView for HPE Synergy” sont vulnérables.
Cette incertitude oblige les équipes de sécurité à être extrêmement prudentes et à considérer que tout environnement non patché est à risque, en attendant des clarifications officielles.
Procédure de mitigation
HPE a publié un correctif de sécurité (hotfix). Il est impératif de l’appliquer pour toute version concernée. Une particularité technique doit être notée : le correctif doit être réappliqué après une mise à niveau de l’applicatif, notamment lors d’une transition de la version 6.60.xx vers la 7.00.00, ou après une réimagination de HPE Synergy Composer.
CVE-2009-0556 : Le retour d’un fantôme de PowerPoint
La seconde entrée, CVE-2009-0556, est une faille historique mais toujours dangereuse. Elle affecte les versions anciennes de Microsoft Office PowerPoint (2000 SP3, 2002 SP3, 2003 SP3) et PowerPoint dans Office 2004 pour Mac.
Une mémoire corrompue depuis 2009
Cette vulnérabilité est une faille d’injection de code qui se déclenche via un fichier PowerPoint malveillant contenant un atome OutlineTextRefAtom avec un index invalide. Cet index incorrect provoque une corruption de la mémoire (memory corruption) lors de l’ouverture du fichier.
Le National Vulnerability Database (NVD) confirme que cette faille a été exploitée dans la nature dès avril 2009 par la menace Exploit:Win32/Apptom.gen. L’avis de sécurité de Microsoft de mai 2009 décrivait déjà le risque : un attaquant pouvait prendre le contrôle total du système, installer des programmes, modifier ou supprimer des données.
Pourquoi cette faille est-elle toujours d’actualité en 2026 ?
Si les versions 2000 et 2003 semblent obsolètes, leur présence dans des environnements industriels, des postes de travail dédiés à des logiciels métiers spécifiques ou des systèmes non connectés à Internet (air-gapped) n’est pas rare. De plus, les mécanismes d’exploitation de la mémoire (comme la corruption de pile) restent des classiques que les attaquants adaptent constamment. L’ajout de cette faille au KEV en 2026 indique qu’elle est soit utilisée dans des attaques ciblées sur des systèmes hérités, soit qu’elle sert de vecteur pour des chaînes d’exploitation plus complexes.
Microsoft avait alors précisé que les utilisateurs avec des droits limités sur le système étaient moins impactés, soulignant l’importance du principe de moindre privilège.
Tableau comparatif des vulnérabilités
Pour aider à la priorisation des actions, voici une synthèse des deux menaces :
| Critère | CVE-2025-37164 (HPE OneView) | CVE-2009-0556 (PowerPoint) |
|---|---|---|
| Score CVSS | 10.0 (Critique) | 9.3 (Élevé) |
| Type de vulnérabilité | Injection de Code (RCE) | Corruption de Mémoire (RCE) |
| Vecteur d’attaque | Réseau, non authentifié | Fichier malveillant (Client) |
| Cible | Infrastructure IT (Serveur) | Poste de travail (Client) |
| Date de première exploitation | Récente (2025/2026) | Avril 2009 |
| Statut correctif | Correctif disponible (Hotfix) | Correctif historique (MS09-017) |
| Risque principal | Prise de contrôle totale de l’infrastructure | Exécution de code à l’ouverture d’un fichier |
Mesures de sécurité et bonnes pratiques
Face à ces menaces, les responsables de la sécurité des systèmes d’information (RSSI) et les équipes opérationnelles doivent agir immédiatement. Voici les étapes recommandées pour sécuriser votre environnement.
1. Identifier et inventorier
La première étape consiste à savoir si vous êtes concerné. Utilisez vos outils de gestion des actifs (CMDB) pour lister tous les serveurs hébergeant HPE OneView et tous les postes de travail disposant de versions anciennes de Microsoft Office.
- Pour HPE OneView : Vérifiez précisément les versions installées (5.20 à 10.20) et déterminez si vous utilisez le module “for VMs” ou “for Synergy”.
- Pour PowerPoint : Identifiez les postes sous Windows XP, Vista, 7, ou Mac OS X anciens qui pourraient encore avoir Office 2000-2004 installés.
2. Appliquer les correctifs (Patch Management)
C’est la mesure de défense la plus efficace.
- HPE : Téléchargez et appliquez le hotfix de sécurité fourni par HPE. Assurez-vous de réappliquer ce correctif après toute mise à jour majeure de l’appliance.
- Microsoft : Bien que le correctif existe depuis 2009 (MS09-017), assurez-vous que les anciens systèmes sont mis à jour ou, mieux encore, migrez vers des versions supportées de Microsoft 365 ou Office.
3. Appliquer le principe de moindre privilège
Comme mentionné dans le bulletin Microsoft de 2009, limiter les droits des utilisateurs réduit l’impact d’une exploitation réussie, notamment face à la matière-sombre-d’identité. Sur les serveurs HPE, assurez-vous que les comptes de service ne disposent pas de droits d’administration inutiles.
4. Détection via EDR et SIEM
Si vous ne pouvez pas patcher immédiatement (par exemple, sur des systèmes critiques en production), renforcez la détection :
- Surveillez les processus suspects générés par
powerpoint.exeou les services HPE OneView. - Créez des alertes sur l’analyse réseau (IDS/IPS) ciblant les signatures d’exploitation connues de ces CVE.
- Utilisez les signatures YARA ou les règles Sigma disponibles pour les modules Metasploit associés.
5. Formation des utilisateurs
Pour la faille PowerPoint, l’attaque repose sur l’ouverture d’un fichier. Renforcez la sensibilisation des utilisateurs, notamment face aux arnaques cryptomonnaies 2026 :
- Ne jamais ouvrir des pièces jointes provenant de sources inconnues.
- Faire attention aux extensions de fichiers (
.pptvs.pptx). - Mettre en garde contre les pièces jointes qui demandent l’activation des macros.
Conclusion : La vigilance est de mise
L’ajout de CVE-2025-37164 et CVE-2009-0556 au catalogue KEV de la CISA rappelle que la surface d’attaque ne se limite pas aux failles de la dernière semaine. Les environnements hérités et les solutions d’infrastructure critique sont des cibles de choix. En 2026, la sécurité repose sur une hygiène rigoureuse : inventaire exhaustif, application systématique des correctifs et surveillance proactive.
La question n’est plus de savoir si ces vulnérabilités seront exploitées, mais si votre organisation est prête à les contrer. Votre prochaine action devrait être un audit immédiat de vos versions HPE OneView et une vérification de la présence de vieux composants Office sur votre réseau.