CVE-2025-37164 et CVE-2009-0556 : CISA alerte sur des vulnérabilités critiques dans PowerPoint et HPE OneView
Apollinaire Monteclair
L’agence américaine de cybersécurité (CISA) a récemment ajouté deux vulnérabilités majeures à son catalogue des vulnérabilités exploitées (KEV), suscitant une vive inquiétude dans le monde de l’entreprise. Il s’agit d’une faille d’exécution de code à distance (RCE) dans le logiciel HPE OneView et d’un vieux défaut de 16 ans dans Microsoft PowerPoint, désormais réactivé. Si la faille HPE, notée 10.0/10, est une menace immédiate pour les infrastructures informatiques, la faille PowerPoint rappelle que des menaces anciennes peuvent toujours resurgir.
Les vulnérabilités KEV : une menace pérenne pour les entreprises françaises
Les ajouts au catalogue CISA Known Exploited Vulnerabilities (KEV) en début d’année 2026 marquent une tendance inquiétante : la réhabilitation de failles anciennes. En effet, le premier ajout de l’année concerne une faille remontant à 2009, CVE-2009-0556, prouvant que l’obsolescence des vulnérabilités est un concept bien relatif. Pour les équipes de sécurité en France, cela souligne l’importance de ne pas se concentrer uniquement sur les menaces “zero-day” récentes, mais de maintenir une hygiène de sécurité rigoureuse sur l’ensemble du parc logiciel. Cette vigilance est d’autant plus cruciale que la surface d’attaque invisible, souvent appelée identity dark matter, représente un risque majeur pour les organisations.
Le contexte est d’autant plus critique que, selon les données de CISA, 245 vulnérabilités ont été ajoutées au catalogue en 2025. Les deux nouvelles entrées de 2026, CVE-2025-37164 et CVE-2009-0556, illustrent parfaitement le spectre des risques : d’un côté, une faille critique récente dans une solution d’infrastructure ; de l’autre, une faille historique dans un outil bureautique omniprésent.
Comprendre la vulnérabilité critique de HPE OneView (CVE-2025-37164)
CVE-2025-37164 est une vulnérabilité d’injection de code classée 10.0 (Critique) dans le logiciel de gestion d’infrastructure HPE OneView. Il s’agit d’une faille de type Remote Code Execution (RCE) qui permet à un attaquant non authentifié de prendre le contrôle total de l’équipement cible.
Cette vulnérabilité a été mise en lumière par la publication d’un Proof of Concept (PoC) par Rapid7 le 19 décembre 2025. Cette divulgation a probablement accéléré l’ajout de la faille au catalogue KEV par la CISA, car elle rendait l’exploitation beaucoup plus accessible pour les cybercriminels.
Impact et portée de la faille HPE
HPE a confirmé que cette vulnérabilité affecte toutes les versions de HPE OneView de la 5.20 à la 10.20. La société a publié un correctif de sécurité (hotfix) pour pallier ce risque. Cependant, une nuance technique importante a été soulevée par les chercheurs de Rapid7 : bien que l’éditeur indique que toutes les versions sont affectées, l’analyse suggère que la situation est plus complexe.
En pratique, les experts suspectent que seules les versions 6.x de “HPE OneView for VMs” sont vulnérables, tandis que toutes les versions non corrigées de “HPE OneView for HPE Synergy” le seraient. Cette incertitude rend la cartographie des actifs exposés plus délicate pour les administrateurs système. De plus, la mise à jour nécessite une attention particulière : le correctif doit être réappliqué après une mise à niveau de l’applicance, notamment lors du passage de la version 6.60.xx à la 7.00.00, ou après une réimagerie de HPE Synergy Composer.
L’exploitation de CVE-2009-0556 dans PowerPoint
La seconde vulnérabilité ajoutée, CVE-2009-0556, est un cas d’école de persistance des menaces. Datant de 2009, cette faille de niveau 9.3 affecte les versions anciennes de Microsoft Office PowerPoint (2000 SP3, 2002 SP3, 2003 SP3 et 2004 pour Mac). Elle résulte d’une erreur dans la gestion des fichiers PowerPoint malformés, plus précisément au niveau de l’atome OutlineTextRefAtom.
Le mécanisme de la corruption mémoire
L’origine de la faille réside dans une mauvaise gestion des index. Lorsque PowerPoint tente de lire un fichier contenant un index invalide dans cet atome spécifique, une corruption de la mémoire se produit. Cette corruption permet à un attaquant d’exécuter du code arbitraire sur la machine de la victime. Historiquement, cette faille a été exploitée dans la nature dès avril 2009 via le malware Exploit:Win32/Apptom.gen. Ces techniques d’exploitation par malware rappellent les attaques modernes de type ClickFix qui utilisent de faux écrans de panique BSOD pour manipuler les utilisateurs.
Le bulletin de sécurité MS09-017 émis par Microsoft en mai 2009 décrivait déjà les risques majeurs : un attaquant réussissant l’exploitation pouvait “prendre le contrôle complet du système affecté”. Les conséquences allaient de l’installation de programmes malveillants à la suppression ou modification de données, en passant par la création de comptes utilisateurs avec des privilèges élevés.
Analyse technique et réponse de l’industrie
L’ajout simultané de ces deux failles met en lumière la diversité des vecteurs d’attaque. Si la faille HPE cible l’infrastructure critique (DCIM), la faille PowerPoint exploite la confiance des utilisateurs dans les documents bureautiques quotidiens. La réponse de l’industrie a été rapide pour la faille HPE, avec la sortie d’un module Metasploit par Rapid7, facilitant les tests d’intrusion pour les équipes de sécurité autorisées.
Différences d’exploitation et risques associés
Il est crucial de distinguer les deux modes opératoires :
- CVE-2025-37164 (HPE) : Nécessite un accès réseau. L’attaquant n’a pas besoin d’identifiants valides. C’est une menace pour les administrateurs et les périmètres réseau.
- CVE-2009-0556 (PowerPoint) : Nécessite une interaction utilisateur (ouverte du fichier). C’est une menace de type Spear Phishing ou hameçonnage.
Voici un tableau comparatif résumant les caractéristiques principales :
| Critère | CVE-2025-37164 (HPE OneView) | CVE-2009-0556 (PowerPoint) |
|---|---|---|
| Score CVSS | 10.0 (Critique) | 9.3 (Élevé) |
| Type de vulnérabilité | Injection de Code (RCE) | Corruption Mémoire (RCE) |
| Authentification | Non requise | Requise (via interaction utilisateur) |
| Cible | Infrastructure IT (OneView) | Application bureautique (PowerPoint) |
| Date de découverte initiale | 2025 | 2009 |
| Statut Correctif | Hotfix disponible | Patch historique (MS09-017) |
Mise en œuvre : Étapes de mitigation et bonnes pratiques
Face à ces menaces, les équipes de sécurité françaises doivent agir immédiatement. La CISA ordonne aux agences fédérales de traiter ces vulnérabilités avant le 29 janvier 2026, ce qui constitue une date butoir indicative pour le secteur privé.
1. Identifier et auditer le parc
Premièrement, il est impératif de scanner le réseau pour détecter les instances de HPE OneView exposées. Vérifiez les versions installées (5.20 à 10.20) et déterminez si elles appartiennent à la gamme “VMs” ou “Synergy”. Pour PowerPoint, l’audit concerne surtout les environnements utilisant des versions très anciennes de Microsoft Office, bien que la mise à jour vers des versions modernes soit la norme.
2. Appliquer les correctifs (Patching)
- Pour HPE : Téléchargez et appliquez le hotfix de sécurité disponible sur le portail de support HPE. Assurez-vous de suivre les instructions spécifiques pour les mises à niveau d’applicance (reimage) pour éviter que la vulnérabilité ne réapparaisse après une mise à jour.
- Pour PowerPoint : Appliquer les mises à jour de sécurité de mai 2009 est techniquement la solution, mais en pratique, la migration vers des versions supportées de Microsoft 365 ou Office est le seul moyen viable de sécuriser les postes de travail.
3. Mesures de contournement et détection
Si le correctif ne peut être appliqué immédiatement (cas des systèmes hérités ou des contraintes opérationnelles) :
- Isoler les serveurs HPE OneView : Limitez l’accès réseau aux seules adresses IP de gestion autorisées via des règles de pare-feu strictes.
- Surveillance des logs : Activez la journalisation détaillée sur les appliances HPE pour détecter des tentatives d’exploitation ou des anomalies.
- Filtrage des pièces jointes : Renforcez les politiques de sécurité des emails pour bloquer les fichiers PowerPoint suspects (.ppt, .pot) ou activez les fonctionnalités de “Protected View” dans Office. Cette approche doit s’inscrire dans une stratégie plus large de prévention des arnaques aux cryptomonnaies par email et pages web qui exploitent la confiance des utilisateurs.
“La sécurité ne se limite pas au patching ; elle implique une surveillance continue et une compréhension fine de l’impact des vulnérabilités sur l’architecture spécifique.” (Expert en cybersécurité)
4. Analyse des vecteurs d’attaque connus
Il est important de noter que pour CVE-2025-37164, un module Metasploit est déjà disponible. Cela signifie que le seuil technique pour réaliser une attaque est bas. Les équipes de Red Teaming doivent inclure cette vulnérabilité dans leurs scénarios d’attaque simulée pour tester la réactivité des équipes de Blue Teaming.
Conclusion et recommandations stratégiques
L’ajout de CVE-2025-37164 et CVE-2009-0556 au catalogue KEV de la CISA en janvier 2026 rappelle une réalité immuable de la cybersécurité : la surface d’attaque est vaste et dynamique. La faille HPE OneView représente une urgence opérationnelle pour les DSI, car elle compromet l’infrastructure de gestion. La faille PowerPoint, bien que datant de 2009, sert de rappel salutaire à l’hygiène de sécurité des postes de travail et à la vigilance face aux pièces jointes.
Pour les entreprises françaises, l’objectif est clair : auditer immédiatement les infrastructures HPE OneView, appliquer les correctifs avant la date butoir de la CISA, et renforcer la formation des utilisateurs contre les menaces par email. Ne sous-estimez jamais une ancienne vulnérabilité ; tant qu’elle n’est pas corrigée sur 100% du parc, elle reste une porte d’entrée potentielle pour les attaquants.
Prochaine action : Vérifiez dès aujourd’hui la version de votre logiciel HPE OneView et consultez le bulletin de sécurité MS09-017 pour auditer vos anciens fichiers PowerPoint archivés.