Une vulnérabilité dans Outlook permet aux pirates de diffuser des logiciels malveillants par courrier électronique

Microsoft Windows est désormais menacé par une nouvelle vulnérabilité de sécurité critique. Sobrement nommée CVE-2025-21298, cette vulnérabilité est au cœur de la fonction Windows Object Linking and Embedding (OLE), qui permet d’intégrer de manière transparente des documents et autres objets dans les applications. Mais cette fonctionnalité présente un danger particulier : un simple coup d’œil à la boîte de réception d’Outlook ou l’ouverture inconsidérée d’un aperçu d’un e-mail peut suffire à ouvrir la porte numérique à des invités non sollicités.

Les pirates peuvent exploiter la faille de sécurité dite « utilisation gratuite » pour prendre le contrôle de l’ordinateur de la victime « en envoyant un e-mail spécialement conçu à une cible ». Un exploit réussi entraînerait l’exécution de code à distance sur le système cible si la cible ouvre cet e-mail à l’aide d’une version vulnérable de Microsoft Outlook ou si son logiciel est capable de prévisualiser l’e-mail via un volet de prévisualisation.

Les conséquences d’une telle attaque peuvent être dévastatrices, allant du vol de données à l’espionnage jusqu’au chiffrement complet du système avec un ransomware. Différentes versions de Windows 10, Windows 11 et Windows Server sont concernées. La vulnérabilité a un score CVSSv3 de 9,8 sur 10 et est donc « critique ». En revanche, Microsoft précise n’avoir constaté à ce jour aucune exploitation de la vulnérabilité.

Microsoft déploie déjà des correctifs de sécurité pour combler la faille : il est fortement recommandé aux utilisateurs d’installer ces mises à jour dès que possible. Jusqu’à ce que les mises à jour soient installées, il est conseillé aux utilisateurs d’afficher les e-mails en texte brut et, dans les grands réseaux locaux, de restreindre le trafic NTLM ou de désactiver complètement NTLM. La configuration de Microsoft Outlook pour afficher les e-mails en texte brut plutôt qu’en format riche empêche l’affichage d’autres types de contenu, tels que des photos, des animations ou des polices spécialisées, par lesquels la vulnérabilité peut être exploitée.