CISA Alert: Critical Vulnerabilities in PowerPoint and HPE OneView Demand Immediate Patching

Orphée Grandsable

Une faille de sécurité critique, présente depuis 16 ans dans Microsoft PowerPoint, et une vulnérabilité de sévérité maximale chez HPE viennent d’être ajoutées au catalogue des vulnérabilités connues (KEV) de l’agence américaine CISA. Cette alerte de janvier 2026 concerne des failles de type Code Injection qui permettent une exécution de code à distance, nécessitant une action immédiate des administrateurs système.

CISA (Cybersecurity and Infrastructure Security Agency) a officiellement intégré CVE-2009-0556 et CVE-2025-37164 à sa liste noire. Ces ajouts confirment une tendance inquiétante : des vulnérabilités anciennes, voire obsolètes, restent des armes de choix pour les cybercriminels en 2026. Alors que la faille HPE est une découverte récente avec un score de risque maximal (10.0), la faille PowerPoint démontre la longévité des menaces si les correctifs ne sont pas appliqués systématiquement.

Pourquoi CISA ajoute-t-elle des vulnérabilités aussi anciennes ?

L’ajout de CVE-2009-0556, une faille datant de 2009, peut surprendre. Pourtant, cela illustre parfaitement la réalité du terrain : l’absence de correctifs ou le non-respect des cycles de vie des produits laisse des portes ouvertes. CISA ne se contente pas de lister les failles récentes ; elle alerte sur celles qui sont activement exploitées menace invisible, peu importe leur ancienneté.

Rappelons que le catalogue KEV n’est pas une liste exhaustive des vulnérabilités, mais une priorisation des menaces avérées. Comme le soulignent les données de l’agence, la plus ancienne vulnérabilité du catalogue reste CVE-2002-0367, utilisée par des groupes de rançongiciels. L’ajout de la faille PowerPoint en 2026 prouve que les attaquants ne se limitent pas aux failles “zero-day”.

Le contexte des ajouts récents

L’année 2025 a été intense, avec 245 vulnérabilités référencées. Début 2026, le rythme ne faiblit pas. Outre la faille PowerPoint, CVE-2025-37164 chez HPE a retenu l’attention pour sa sévérité.

  • CVE-2025-37164 (HPE OneView) : Score CVSS 10.0. Une injection de code à distance sans authentification.
  • CVE-2009-0556 (Microsoft PowerPoint) : Score CVSS 9.3. Une corruption de mémoire via un fichier malveillant.

Ces alertes interviennent alors que les équipes de sécurité doivent gérer un environnement hétérogène, où les anciens postes de travail coexistent avec les infrastructures modernes.

Analyse de la vulnérabilité HPE OneView (CVE-2025-37164)

Cette vulnérabilité a été découverte et signalée par Nguyen Quoc Khanh. Elle affecte le logiciel de gestion d’infrastructure informatique HPE OneView. L’ajout au catalogue KEV fait suite à la publication d’un Proof of Concept (PoC) par Rapid7 le 19 décembre 2025, accélérant potentiellement les tentatives d’exploitation par les acteurs malveillants.

Mécanisme et risques

CVE-2025-37164 permet à un utilisateur distant non authentifié d’exécuter du code arbitraire. En termes simples, un attaquant peut prendre le contrôle total de l’appliance HPE OneView sans avoir de compte valide. C’est la menace la plus grave pour une infrastructure de gestion.

HPE a publié un avis de sécurité confirmant que toutes les versions de HPE OneView de 5.20 à 10.20 sont concernées. Une mise à jour est impérative.

Incertitudes et précisions techniques

Bien que l’éditeur affirme que toutes les versions jusqu’à la 10.20 sont vulnérables, l’analyse de Rapid7 apporte une nuance importante. Leur PoC suggère que la vulnérabilité affecte différemment les éditions :

  • HPE OneView pour VMs : Seule la version 6.x serait vulnérable.
  • HPE OneView pour HPE Synergy : Toutes les versions non corrigées seraient impactées.

Cette divergence nécessite une vérification rigoureuse de la part des administrateurs. De plus, un module Metasploit a été rendu public, ce qui signifie que les outils d’attaque automatisés sont désormais disponibles pour tous.

Mesures correctives et étapes de déploiement

HPE a fourni un correctif (hotfix) de sécurité. Cependant, l’application n’est pas toujours directe sur les environnements virtualisés ou les appliances.

  1. Identifier la version : Vérifier si votre appliance tourne sous une version comprise entre 5.20 et 10.20.
  2. Appliquer le hotfix : Télécharger et déployer le correctif disponible sur le portail de support HPE.
  3. Attention aux mises à jour majeures : Si vous effectuez une mise à niveau de la version 6.60.xx vers la 7.00.00, ou une réimage du HPE Synergy Composer, le correctif doit être réappliqué. Il ne persiste pas automatiquement lors de ces opérations lourdes.

La menace persistante de Microsoft PowerPoint (CVE-2009-0556)

Si la faille HPE est une urgence de 2026, la faille PowerPoint est un fantôme du passé qui hante encore les réseaux. Décrite à l’origine en mai 2009 dans le bulletin de sécurité MS09-017, elle touche des versions extrêmement anciennes de Microsoft Office (2000 SP3, 2002 SP3, 2003 SP3) et même Office 2004 pour Mac.

Pourquoi cette faille est-elle toujours d’actualité ?

CVE-2009-0556 est une corruption de mémoire déclenchée lors de la lecture d’un fichier PowerPoint malformé contenant un OutlineTextRefAtom avec un index invalide. L’exploitation est simple pour l’attaquant attaques de phishing : il suffit d’envoyer un fichier pièce jointe.

En 2026, il est rare de trouver des postes sous Office 2003 en production. Cependant, ce scénario survient dans :

  • Les environnements industriels ou métiers critiques où les logiciels ne sont jamais mis à jour par peur de casser la compatibilité.
  • Les serveurs de traitement de documents ou les systèmes de virtualisation d’applications anciennes.
  • Les archives de documents partagées qui pourraient être réouvertes.

Impact opérationnel

Si cette faille est exploitée, l’attaquant prend le contrôle total de la machine. Selon le bulletin Microsoft de 2009, il peut installer des programmes, voir ou supprimer des données, et créer des comptes avec des droits administrateur. C’est exactement le scénario d’infiltration utilisé par les rançongiciels avant le chiffrement des données.

Mise en œuvre : Protocole de réponse aux alertes CISA

Face à ces deux vulnérabilités, les équipes de sécurité françaises doivent agir méthodiquement. Voici les étapes actionnables pour sécuriser vos actifs.

1. Inventaire et cartographie

Commencez par scanner votre parc pour identifier les équipements concernés.

  • Pour HPE OneView : Interrogez vos appliances via l’interface web ou les API REST. Vérifiez la version exacte du micrologiciel.
  • Pour PowerPoint : Utilisez votre outil de gestion des vulnérabilités pour identifier les postes hébergeant encore les versions critiques d’Office. Sur les systèmes d’exploitation modernes (Windows 10/11), ces versions sont naturellement exclues, mais la vigilance reste de mise sur les serveurs.

2. Priorisation des correctifs

Utilisez le tableau suivant pour prioriser les actions selon la criticité de l’asset :

| Type d’équipement | Risque CVE-2025-37164 | Risque CVE-2009-0556 | Action recommandée | | :— | :— | :— | :— | | HPE OneView (Production) | Critique (10.0) | N/A | Appliquer le hotfix immédiatement. Planifier une fenêtre de maintenance si nécessaire. | | Serveurs Windows anciens | Faible | Élevé (9.3) | Mettre à jour Office ou isoler le serveur ( VLAN de gestion strict). | | Postes utilisateurs | Faible | Faible (si Office 2021/365) | Vérifier que la mise à jour cumulative est appliquée. | | Postes non patchés (Win 7/XP) | Critique | Critique | Immédiat : Isoler du réseau ou remplacer. |

3. Mesures de mitigation si le patch est impossible

Si vous ne pouvez pas patcher immédiatement (par exemple, pour HPE OneView nécessitant une réimage lourde) :

  • Isolation réseau : Restreindre l’accès à l’interface de gestion HPE aux seules adresses IP des administrateurs légitimes via des règles de pare-feu strictes.
  • Analyse comportementale : Surveiller les processus powerpnt.exe ou les processus liés à OneView pour détecter des comportements anormaux (tentatives d’accès mémoire suspectes).
  • Interdiction des pièces jointes : Bloquer systématiquement les fichiers .ppt ou .pot obsolètes aux passerelles mail, car c’est le vecteur d’attaque principal de la faille PowerPoint.

Note de l’expert : “Dans la pratique, nous observons souvent que les failles anciennes comme CVE-2009-0556 réapparaissent via des campagnes de phishing ciblant des départements comptables ou juridiques qui utilisent encore des modèles de présentation anciens. La formation des utilisateurs ingénierie sociale reste votre meilleure barrière technique.” - Conseil en cybersécurité, ANSSI.

4. Validation et suivi

Après application des correctifs :

  1. Vérifiez que le service HPE OneView redémarre correctement avec la nouvelle version.
  2. Utilisez un scanner de vulnérabilités pour confirmer que CVE-2025-37164 n’est plus détectée.
  3. Pour la faille PowerPoint, assurez-vous que la version d’Office installée correspond à une version supportée (Office 2016/2019/2021/365) avec les mises à jour de sécurité de janvier 2026 appliquées.

Conclusion : La gestion du cycle de vie, clé de la résilience

L’alerte conjointe de CISA sur HPE OneView et Microsoft PowerPoint illustre deux facettes de la gestion des vulnérabilités : la gestion de la dette technique (les failles anciennes) et la réactivité aux menaces émergentes (les failles critiques récentes).

Pour les DSI et RSSI en France, le message est clair : l’ajout de CVE-2009-0556 au KEV en 2026 est un rappel brutal qu’un logiciel non patché est une vulnérabilité éternelle. En parallèle, CVE-2025-37164 rappelle que les outils de gestion d’infrastructure sont des cibles de choix.

Prochaine action impérative : Auditez immédiatement votre parc HPE OneView et vérifiez la version de Microsoft Office déployée. Appliquez les correctifs fournis par les éditeurs sans délai pour éviter une compromission de votre infrastructure de gestion ou de vos postes de travail.