🧠 Contexte général
Le Patch Tuesday du 15 octobre 2025 restera dans les mémoires. Microsoft a publié des correctifs pour 183 vulnérabilités (oui, cent quatre-vingt-trois), dont trois zero-days déjà exploités activement.
Et parmi elles, deux font trembler les sysadmins : CVE-2025-26170 et CVE-2025-26185.
La première vise Hyper-V, la seconde touche le cœur même de Windows – le kernel – et, selon The Hacker News, elle affecte “every version ever shipped”. Autrement dit : si tu as un Windows quelque part, il est concerné.
🧩 CVE-2025-26170 — Hyper-V sous tension
Cette vulnérabilité touche Hyper-V, le composant de virtualisation intégré à Windows.
➡️ Impact : déni de service sur l’hôte Hyper-V.
➡️ Gravité : élevée, car une VM malveillante pourrait faire planter tout l’hyperviseur.
➡️ Versions concernées : Windows Server (2016 à 2025) et Windows 10/11 avec Hyper-V activé.
Concrètement, un attaquant ayant un accès à une VM peut provoquer un crash du système hôte, coupant net toutes les machines virtuelles associées.
C’est le genre de faille qu’on adore dans les environnements mutualisés, les labos d’intégration… ou les infrastructures RDS un peu trop “ouverts”.
Bonne nouvelle : pas d’exécution de code arbitraire, mais un déni de service total suffit à faire paniquer un admin qui héberge de la prod sur le même nœud.
🛠️ CVE-2025-26185 — Le kernel prend une claque
Là, on parle d’un autre niveau. Cette faille dans Windows Kernel Streaming (ks.sys) permet à un attaquant local d’obtenir les privilèges SYSTEM.
➡️ Impact : élévation de privilèges.
➡️ Versions concernées : toutes les versions de Windows depuis XP jusqu’à 11.
➡️ Exploitation active : confirmée dans la nature, notamment en Europe et en Asie.
Autrement dit : un simple utilisateur, ou un malware exécuté sans privilèges, peut exploiter cette faille pour prendre le contrôle total du poste.
Et c’est là que les scénarios deviennent croustillants :
- Tu ouvres une pièce jointe piégée dans Outlook (ou pire, depuis un OneDrive perso connecté par erreur)
- Le malware s’exécute avec ton compte utilisateur standard
- Il exploite la CVE-2025-26185 pour passer SYSTEM
- Et là… patratra : dump de mémoire, exfiltration de tokens, persistance, latéralisation
C’est exactement le chaînon manquant entre “j’ai cliqué sans faire exprès” et “notre domaine AD est à genoux”.
🔐 Fin du support Windows 10 : la bombe à retardement
Le timing est (comme toujours) parfait : Microsoft vient d’arrêter le support standard de Windows 10.
👉 Seuls les PC inscrits au programme Extended Security Updates (ESU) reçoivent encore des patchs.
Résultat : des milliers de postes encore en production, notamment en PME, ne recevront pas le correctif pour ces zero-days.
C’est un cauchemar pour les DSI : tu corriges 90 % de ton parc, mais les 10 % restants deviennent des backdoors permanentes.
🧰 Recommandations immédiates
- Patch now, think later.
Installe les mises à jour d’octobre 2025 sur tous les Windows supportés.
Redémarrage obligatoire (désolé). - Isoler les Windows 10 non-ESU.
Pas de réseau interne, pas de VPN, pas d’accès aux partages sensibles. - Bloquer les OneDrive personnels et les mails persos.
Parce qu’un simple lien ou un fichier malicieux suffit pour exploiter la CVE-2025-26185. - Surveiller les logs de sécurité.
Regarde les élévations de privilèges suspectes et les accès anormaux àks.sys. - Renforcer la sensibilisation.
Un clic malheureux reste la meilleure porte d’entrée pour un exploit kernel.
🧱 Ce qu’on en retient
Cette vague d’octobre 2025 montre encore une fois que Windows reste un écosystème gigantesque… et donc fragile.
Quand une faille touche toutes les versions jamais publiées, on ne parle plus de patchs, on parle de patrimoine technique vulnérable.
Et si tu combines ça à un usage hasardeux (OneDrive perso, mails privés, navigation hors proxy), tu obtiens le cocktail parfait :
💣 Vulnérabilité + exposition humaine = compromission garantie.
🚨 En résumé
| Vulnérabilité | Type | Versions concernées | Exploitation | Risque |
|---|---|---|---|---|
| CVE-2025-26170 | DoS Hyper-V | Windows 10/11, Server 2016–2025 | Confirmée | Interruption de service |
| CVE-2025-26185 | EoP Kernel | Toutes versions Windows | Active | Compromission totale du poste |
💬 Conclusion
Les patchs sont disponibles, mais leur efficacité dépend d’un facteur humain : ta rigueur.
Si tu n’as pas encore appliqué les correctifs, tu joues littéralement à la roulette russe numérique.
Et si tu laisses traîner un OneDrive perso, un Outlook sans filtre, ou un Windows 10 oublié, ne t’étonne pas d’entendre bientôt ce doux bruit dans ton SOC :
“Privilege escalation detected on ks.sys — source: [email protected].” 😬
