CISA Alert: Attacks on PowerPoint and HPE Vulnerabilities in 2026

Lysandre Beauchêne

Une faille de sécurité critique dans PowerPoint, présente depuis 16 ans, et une vulnérabilité de sévérité maximale chez HPE viennent d’être ajoutées au catalogue des vulnérabilités exploitées (KEV) de la CISA. Cette alerte de début d’année 2026 souligne une réalité souvent sous-estimée en cybersécurité : des vulnérabilités anciennes peuvent rester une menace majeure pendant des années.

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté deux nouvelles entrées à son catalogue Known Exploited Vulnerabilities (KEV). La première, référencée CVE-2025-37164, est une faille de sévérité maximale (CVSS 10.0) dans le logiciel de gestion d’infrastructure IT HPE OneView. La seconde, CVE-2009-0556, date de 2009 et affecte les versions anciennes de Microsoft PowerPoint. Ces ajouts interviennent après l’ajout de 245 vulnérabilités en 2025 et signalent une nouvelle année de menaces actives sur des logiciels omniprésents.

Comprendre les vulnérabilités critiques de 2026

Ces deux vulnérabilités partagent un point commun : elles permettent une injection de code, mais leur contexte et leur impact diffèrent grandement. L’une est une menace immédiate pour l’infrastructure moderne, tandis que l’autre rappelle la persistance des risques liés aux fichiers hérités.

CVE-2025-37164 : Le danger silencieux dans HPE OneView

La vulnérabilité affectant HPE OneView est classée comme une injection de code à distance. Avec un score CVSS de 10.0, le maximum absolu, elle permet à un attaquant non authentifié d’exécuter du code à distance sur le système cible.

HPE OneView est un outil central pour de nombreuses entreprises gérant des serveurs HPE Synergy ou des environnements virtualisés. Une compromission de ce type de plateforme peut mener à un contrôle total de l’infrastructure.

Points clés de la vulnérabilité HPE :

  • Sévérité : 10.0 (Critique).
  • Vecteur d’attaque : Exécution de code à distance sans authentification.
  • Versions affectées : HPE OneView 5.20 à 10.20.
  • Contexte d’exploitation : L’ajout au catalogue KEV suit la publication d’un Proof of Concept (PoC) par Rapid7 le 19 décembre 2025.

Bien que l’advisory officiel d’HPE indique que toutes les versions jusqu’à la v10.20 sont concernées, les analyses de sécurité suggèrent une nuance importante. Rapid7 suspecte que seules les versions “HPE OneView for VMs” en 6.x sont vulnérables, alors que toutes les versions non patchées de “HPE OneView for HPE Synergy” le seraient. Cette incertitude rend la mise à jour d’autant plus urgente.

CVE-2009-0556 : Le retour d’une faille PowerPoint ancienne

La seconde alerte concerne une faille datant de 2009 dans Microsoft PowerPoint. Cette vulnérabilité, d’une sévérité de 9.3, permet à un attaquant d’exécuter du code arbitraire via un fichier PowerPoint malveillant.

Le mécanisme repose sur une corruption de mémoire déclenchée par une valeur d’index invalide dans l’atome OutlineTextRefAtom du fichier. Si cette faille est ancienne, son ajout au KEV en 2026 signifie qu’elle est exploitée actuellement dans la nature.

Un attaquant qui réussit à exploiter cette vulnérabilité RCE (Remote Code Execution) peut prendre le contrôle total du système affecté. Il peut alors installer des programmes, modifier ou supprimer des données, ou créer de nouveaux comptes avec des droits complets.

Cette alerte rappelle que les fichiers bureautiques restent une porte d’entrée privilégiée pour les campagnes de phishing. Même si les versions logicielles concernées (Office 2000, 2002, 2003, 2004 pour Mac) sont obsolètes, des environnements non mis à jour ou des compatibilités d’ouverture de fichiers peuvent encore exposer les entreprises.

Pourquoi la CISA ajoute-t-elle des vulnérabilités anciennes ?

Il peut paraître surprenant de voir une faille de 2009 ajoutée à un catalogue de menaces actives en 2026. Pourtant, c’est une pratique courante et nécessaire pour la CISA. Le catalogue KEV sert de priorisation pour les équipes de sécurité.

Selon les données de l’ANSSI et de la CISA, la fenêtre d’exploitation entre la publication d’une vulnérabilité et les premières attaques massives se réduit constamment. Cependant, certaines vulnérabilités “zombies” ressurgissent lorsqu’un nouvel exploit est développé ou qu’un groupe de cybercriminels les intègre dans sa boîte à outils.

Pourquoi CVE-2009-0556 est-elle toujours une menace ?

  1. Fichiers hérités : De nombreuses organisations échangent encore des fichiers créés sur des versions anciennes ou doivent les ouvrir pour des raisons légales ou historiques.
  2. Manque de patch : Si les systèmes ne sont plus supportés, il n’y a pas de correctif automatique.
  3. Intégration dans les botnets : Les vulnérabilités anciennes sont souvent intégrées dans de nouveaux malwares pour attaquer les systèmes non patchés.

En ajoutant CVE-2009-0556, la CISA force les administrateurs à auditer leurs systèmes et à appliquer des règles de prévention, même sur des logiciels considérés comme obsolètes.

Analyse technique : Comment fonctionnent ces attaques ?

Pour bien comprendre la menace, il est essentiel d’analyser les vecteurs techniques. Ces deux vulnérabilités exploitent des failles de gestion de la mémoire ou de l’exécution de commandes.

Le mécanisme d’injection de code chez HPE

CVE-2025-37164 est une faille de type Code Injection. Dans le contexte de HPE OneView, cela signifie qu’une chaîne de caractères ou une donnée non filtrée est envoyée à l’application via le réseau.

En pratique, l’attaquant envoie une requête malformée au serveur OneView. Si le serveur ne valide pas correctement l’entrée, il interprète une partie de cette donnée comme du code exécutable.

L’impact d’une telle attaque sur une infrastructure française :

  • Vol de données : Accès aux configurations des serveurs, identifiants iLO (Integrated Lights-Out).
  • Chiffrement/Ransomware : Prise de contrôle de l’orchestrateur pour déployer un ransomware sur tout le parc.
  • Persistence : Modification des configurations pour maintenir l’accès.

L’attaque par corruption de mémoire dans PowerPoint

CVE-2009-0556 est une vulnérabilité de type Heap-based Buffer Overflow. Le problème survient lors de l’analyse (parsing) d’un fichier .ppt malveillant.

  1. Le fichier contient un objet OutlineTextRefAtom.
  2. Cet objet contient un index qui indique où se trouve le texte dans le fichier.
  3. L’attaquant fournit un index invalide ou mal formé.
  4. PowerPoint tente d’accéder à cette adresse mémoire invalide, provoquant une corruption.
  5. Cette corruption peut être orchestrée pour écraser le pointeur de retour de la fonction, permettant d’exécuter le code de l’attaquant.

C’est ce qu’on appelle une attaque par Remote Code Execution (RCE). Le simple fait d’ouvrir un fichier PowerPoint peut compromettre la machine.

Étapes de mitigation et recommandations

Face à ces menaces, les administrateurs système et les Responsables de la Sécurité des Systèmes d’Information (RSSI) doivent agir immédiatement. La CISA impose généralement un délai de 21 jours pour corriger les vulnérabilités du KEV, mais l’urgence est plus forte pour les failles critiques.

Actions immédiates pour HPE OneView

Si vous utilisez HPE OneView dans votre parc, voici la marche à suivre prioritaire :

  1. Identifier les versions : Vérifiez toutes les instances d’HPE OneView déployées (versions 5.20 à 10.20).
  2. Appliquer le Hotfix : HPE a publié un correctif de sécurité. Il doit être appliqué immédiatement.
  3. Attention aux mises à jour : Si vous effectuez une mise à niveau de la version 6.60.xx vers la 7.00.00, le hotfix doit être réappliqué après l’upgrade.
  4. Isolement : Si le correctif ne peut être appliqué immédiatement, restreignez l’accès au réseau de l’interface de gestion OneView (segment de gestion).

Actions pour la protection contre PowerPoint

Pour CVE-2009-0556, la stratégie est différente car il s’agit d’une faille ancienne :

  1. Mise à jour : Assurez-vous que toutes les versions d’Office sont mises à jour vers les versions supportées (Microsoft 365 Apps ou Office 2021/2019).
  2. Isolation des fichiers : Utilisez des Sandbox ou des outils de détection de fichiers malveillants (Email Security Gateways) pour analyser les pièces jointes .ppt ou .pptx.
  3. Défense en profondeur : Activez les fonctionnalités de sécurité intégrées comme Protected View (Mode lecture protégée) qui isole les fichiers téléchargés.
  4. Surveillance : Surveillez les logs d’EDR (Endpoint Detection and Response) pour détecter des processus PowerPoint lanceurs de commandes étranges (PowerPoint lançant PowerShell, par exemple).

Comparaison des vulnérabilités et priorisation

Pour aider à la prise de décision, voici un tableau comparatif des deux menaces ajoutées au catalogue KEV :

CritèreCVE-2025-37164 (HPE)CVE-2009-0556 (PowerPoint)
Date de découverte2025 (Nouveau)2009 (Ancienne)
Score CVSS10.0 (Critique)9.3 (Élevé)
Type de vulnérabilitéInjection de code à distance (RCE)Corruption de mémoire (RCE)
Vecteur d’attaqueRéseau, sans authentificationFichier malveillant, interaction utilisateur
Logiciel affectéHPE OneView (Infrastructure)Microsoft Office PowerPoint (Client)
Statut correctifHotfix disponibleCorrectif historique (mise à jour nécessaire)
Urgence 2026Critique (Exploit actif potentiel)Moyenne/Élevée (Surveillance requise)

Le contexte des menaces 2026

L’ajout de ces deux vulnérabilités en début d’année 2026 marque une tendance : la convergence des menaces sur l’infrastructure et les postes de travail.

Les attaquants ne se contentent plus de viser les serveurs web publics. Ils s’attaquent aux outils de gestion interne (comme HPE OneView) qui offrent une porte d’entrée privilégiée vers le cœur du réseau. Parallèlement, l’utilisation de vecteurs d’attaque “basiques” mais efficaces, comme des fichiers Office, reste une constante, évoluant avec l’ère de l’IA et les nouveaux risques.

En 2025, la CISA a ajouté 245 vulnérabilités. Le rythme ne ralentit pas. La mise en place d’une gestion rigoureuse des correctifs (Patch Management) n’est plus une option, c’est une obligation réglementaire et technique, d’autant plus avec l’IA offensive comme nouvelle frontière.

Ce que nous observons sur le terrain : De nombreuses entreprises françaises négligent la maintenance des outils de gestion d’infrastructure (Out-of-Band Management), pensant qu’ils sont isolés. Or, une faille comme CVE-2025-37164 prouve que l’isolation ne suffit plus si un attaquant arrive à s’introduire dans le réseau.

Conclusion : La surveillance ne faiblit pas

L’alerte de la CISA concernant les attaques sur PowerPoint et les vulnérabilités HPE est un signal clair pour 2026. Elle nous rappelle deux principes fondamentaux de la cybersécurité :

  1. La dette technique est dangereuse : Un logiciel non mis à jour, même s’il semble fonctionner correctement, peut être la cause d’une brèche majeure des années plus tard (comme le montre la faille PowerPoint de 2009).
  2. Les outils de gestion sont des cibles de choix : Protéger les outils qui gèrent votre parc est aussi vital que protéger vos données.

Recommandation finale : Ne sous-estimez pas l’ajout de vieilles vulnérabilités au KEV. Il s’agit d’un avertissement que des exploits actifs circulent. Pour les administrateurs, le moment est venu de lancer un audit complet des versions logicielles et de s’assurer que les correctifs d’HPE sont appliqués et que les anciennes versions d’Office sont définitivement mises à jour ou retirées du parc.