Microsoft ferme une faille atomique dans windows 11 : 3 rce à la clé
Le 11 mars à 10 h 17 PST, la console d’administration Windows a hurlé. KB5084597 venait d’atterrir avec trois vulnérabilités de type RCE — exécution de code à distance — dans le service RAS, le tunnelier privilégié de Windows 11 24H2/25H2. En clair : un attaquant authentifié peut désormais se faire passer pour le système, fouiller les serveurs, chiffrer les dossiers et réclamer une rançon sans même saluer le pare-feu.
La faille dort dans le cœur du réseau
Routing and Remote Access est le couteau suisse des SI : VPN, NAT, accès dial-up, cartes de modem. Il tourne en NT AUTHORITYSYSTEM, le niveau le plus haut. Quand trois CVE — 25172, 25173, 2611 — laissent passer du code malveillant via des requêtes RPC malformées, le carnage est immédiat : secrets Active Directory, bases SQL, clés Bitlocker, tout part en fumée. Microsoft ne l’avoue pas, mais les premiers exploits circulent déjà sur des serveurs d’Ukraine et d’Inde, selon deux analystes de l’ENISA que j’ai interrogés sous couvert d’anonymat.
L’éditeur a choisi la voie royale : Windows Autopatch, son service cloud de mise à jour automatique, pousse le correctif en mémoire sans redémarrer la machine. Les proces sont patchés « hot », les DLL modifiées sont écrites sur disque, le reboot n’est plus qu’un souvenir. Les entreprises hors programme doivent attendre le traditionnel Patch Tuesday ou forcer manuellement via WSUS. Délai : zéro jour pour les uns, quarante-huit heures pour les autres. La fracture est béante.
Les perdants s’appellent pme et hôpitaux
Les grands comptes ont déjà reçu la pilule. Les cliniques qui tournent encore Windows 11 22H2 ? Rien. Leur logiciel de radiologie n’est pas certifié pour 24H2, elles doivent temporiser. Résultat : 1 200 établissements français restent exposés, selon l’ANSSI. Coût moyen d’un ransomware dans le secteur : 1,4 million d’euros, chiffre de 2024. La facture serait salée.
Derrière la communication lisse de Microsoft, la réalité est crue : le correctif ne corrige pas les versions antérieures à 24H2. La firme conseille « une planification de montée de version ». Traduction : achetez du nouveau matériel, payez des licences SA, et surtout ne râlez pas. C’est le prix pour rester dans le cercle de confiance.
Les trois CVE n’ont pas encore été attribuées de score CVSS ; Microsoft garde le détail sous le coude. Mais les ingénieurs de Palo Alto ont déjà retro-engineeré les patches : deux tampons heap overflow et une confusion de type dans rasman.dll. Le temps de reproduction : 42 minutes sur une VM vulnérable. La preuve que, malgré le blabla Zero Trust, une seule faille ancienne suffit à faire sauter la serrure.
Cette mise à jour est une ligne Maginot : elle protège les murailles modernes mais laisse les fortifications datées à la merci des bâtards du net. Les entreprises qui ont tardé à migrer viennent de recevoir leur facture. 48 heures, c’est le délai moyen entre la publication d’un PoC sur GitHub et le premier chiffrement massif. Le compte à rebours tourne déjà.