CVE-2025-37164 et CVE-2009-0556 : CISA met en garde contre des vulnérabilités critiques dans PowerPoint et HPE OneView
Aurélien Fontevive
Une faille de sécurité présente dans Microsoft PowerPoint depuis 16 ans et une vulnérabilité critique majeure chez HPE viennent d’être ajoutées au catalogue des vulnérabilités connues (KEV) de la CISA. Cette mise à jour, intervenue début 2026, marque un tournant important dans la gestion des menaces persistantes.
L’ajout simultané de CVE-2025-37164 et de CVE-2009-0556 souligne une réalité souvent sous-estimée de la cybersécurité : les anciennes failles, si elles ne sont pas corrigées, restent une porte d’entrée aussi dangereuse que les vulnérabilités zero-day. Pour les responsables informatiques en France, cette alerte de la CISA (Cybersecurity and Infrastructure Security Agency) est un signal d’alarme urgent.
Pourquoi la CISA ajoute-t-elle ces vulnérabilités au catalogue KEV ?
Le catalogue des vulnérabilités connues et exploitées (KEV) est une référence incontournable pour prioriser les correctifs. La CISA n’ajoute une faille que lorsqu’il existe des preuves concrètes d’exploitation active dans la nature.
CVE-2025-37164 est une injection de code (Code Injection) de sévérité maximale (CVSS 10.0) affectant le logiciel de gestion d’infrastructure HPE OneView. Cette faille permet à un attaquant non authentifié d’exécuter du code à distance, potentiellement en prenant le contrôle total du système.
CVE-2009-0556, quant à elle, est une faille de type « use-after-free » dans Microsoft PowerPoint 2000, 2002, 2003 et 2004 pour Mac. Bien qu’elle soit ancienne, elle a été observée dans des campagnes d’attaques ciblées, notamment via l’exploit Exploit:Win32/Apptom.gen dès avril 2009.
Ajouter des vulnérabilités historiques au KEV n’est pas une pratique inhabituelle. Cela prouve que les acteurs de la menace exploitent encore des failles non patchées, parfois des années après leur découverte.
Analyse de CVE-2025-37164 : La menace HPE OneView
Cette vulnérabilité a suscité une vive attention dès la publication du Proof of Concept (PoC) par Rapid7 le 19 décembre 2025. Voici ce que les équipes de sécurité doivent savoir :
- Nature de la faille : Il s’agit d’une injection de code qui permet une exécution de code à distance (RCE) sans authentification préalable.
- Impact : Un attaquant peut compromettre l’ensemble de l’infrastructure gérée par HPE OneView, accéder aux données sensibles et potentiellement déployer des ransomwares, créant ainsi une matière noire d’identité difficile à détecter.
- Contexte : La publication d’un module Metasploit par Rapid7 a grandement facilité l’exploitation par les cybercriminels.
Les versions concernées et le flou persistant
HPE a publié un correctif (hotfix) pour les versions allant de 5.20 à 10.20. Cependant, une incertitude demeure concernant l’étendue exacte des impacts.
Selon les analyses de sécurité, il existe une distinction technique importante :
- HPE OneView for VMs (version 6.x) : Susceptible d’être vulnérable.
- HPE OneView for HPE Synergy : Toutes les versions non patchées semblent concernées.
Cette nuance est cruciale pour les entreprises utilisant des architectures hybrides. Le correctif doit être réappliqué après chaque mise à jour majeure de l’appliance (notamment lors du passage de la version 6.60.xx à la 7.00.00).
CVE-2009-0556 : Le retour d’un danger oublié
L’ajout d’une faille de 2009 en 2026 démontre la persistance des vecteurs d’attaque anciens. Cette vulnérabilité spécifique dans PowerPoint repose sur la corruption de mémoire.
Mécanisme technique : L’attaque se déclenche lorsqu’un fichier PowerPoint malveillant contient un atome OutlineTextRefAtom avec un index invalide. Cela provoque une corruption de la mémoire lors du parsing du fichier, permettant l’exécution de code arbitraire.
Microsoft avait déjà publié un correctif en mai 2009 (MS09-017), avertissant qu’un attaquant réussissant l’exploitation pouvait “prendre le contrôle complet du système affecté”. Néanmoins, les systèmes non mis à jour ou fonctionnant sous des versions obsolètes (comme Office 2004 pour Mac) restent exposés si les correctifs n’ont jamais été appliqués.
Comparaison des vulnérabilités et priorisation des correctifs
Pour aider les DSI et les administrateurs à prioriser les actions, voici une synthèse comparative des deux menaces :
| Critère | CVE-2025-37164 (HPE) | CVE-2009-0556 (PowerPoint) |
|---|---|---|
| Date de découverte | 2025 (Nouveau) | 2009 (Historique) |
| Score CVSS | 10.0 (Critique) | 9.3 (Élevé) |
| Type de vulnérabilité | Injection de Code (RCE) | Corruption de Mémoire (RCE) |
| Authentification requise | Non | Non |
| Vecteur principal | Fichier de configuration / Interface réseau | Fichier PowerPoint (*.ppt) |
| Statut correctif | Hotfix disponible (HPE) | Correctif disponible depuis 2009 (MS) |
| Preuve d’exploitation | Module Metasploit disponible | Exploit connu depuis 2009 |
Mise en œuvre : Étapes de mitigation pour les entreprises françaises
Face à ces menaces, l’inaction n’est pas une option. Voici une procédure en 4 étapes pour sécuriser vos environnements.
- Audit immédiat des équipements HPE : Identifiez toutes les instances d’HPE OneView (versions 5.20 à 10.20) et déterminez si elles exposent l’interface de gestion au réseau.
- Application des correctifs HPE : Téléchargez et appliquez le hotfix disponible sur le portail de support HPE. Assurez-vous de réappliquer le correctif après toute mise à jour majeure.
- Scan des postes clients pour PowerPoint : Vérifiez que les postes de travail utilisant des versions historiques d’Office ont bien reçu le patch MS09-017. Si des versions obsolètes sont encore en production, isoler ces équipements.
- Sensibilisation des utilisateurs : Bien que la faille HPE soit exploitée à distance sans interaction, rappeler aux employés de ne jamais ouvrir des fichiers PowerPoint provenant de sources inconnues reste une bonne pratique, d’autant plus que les faux écrans de panique Windows sont de plus en plus utilisés pour piéger les victimes.
Conclusion : La gestion du cycle de vie des vulnérabilités
L’alerte conjointe de la CISA sur CVE-2025-37164 et CVE-2009-0556 rappelle que la cybersécurité est une course contre la montre sans fin. La gravité maximale de la faille HPE OneView exige une intervention dans les plus brefs délais pour éviter une compromission totale de l’infrastructure. Parallèlement, la réapparition de la faille PowerPoint souligne l’importance de maintenir un inventaire rigoureux et d’appliquer systématiquement les correctifs, même pour des logiciels vieillissants.
Ne sous-estimez pas ces vulnérabilités. Une stratégie de sécurité robuste ne se contente pas de bloquer les menaces nouvelles ; elle veille à ce que les failles anciennes ne deviennent pas des portes dérobées pour les attaquants de 2026, notamment face à la recrudescence des arnaques cryptomonnaies.