Une vulnérabilité critique a été révélée en janvier 2025 affectant le client de messagerie Outlook et le composant Windows OLE, permettant l’exécution de code à distance sans interaction de l’utilisateur. Ce problème, référencé comme CVE-2025-21298, expose des millions de postes et transforme un simple courriel en vecteur d’intrusion silencieuse.
La faiblesse exploite un dysfonctionnement dans la bibliothèque ole32.dll, rendant vulnérable la prévisualisation des messages au sein d’Outlook, même sans ouverture explicite de la pièce jointe. Cette description mène naturellement à un récapitulatif pratique des points essentiels pour agir immédiatement.
A retenir :
- Correctif Microsoft appliqué pour bloquer l’exploitation
- Prévisualisation désactivée sur postes sensibles
- Surveillance Sigma pour détection des RTF malveillants
- Formation anti-phishing pour tous les collaborateurs
CVE-2025-21298 et le mécanisme d’exploitation dans Outlook
Partant des éléments clés, il faut d’abord comprendre comment le code malveillant se déclenche via le protocole OLE et les liens Moniker. Cette vulnérabilité exploite la fonction UtOlePresStmToContentsStm de ole32.dll, provoquant l’injection et l’exécution d’un flux OLE manipulé.
Selon Microsoft, la fenêtre de prévisualisation d’Outlook constitue un vecteur d’exploitation capable de charger des objets distants sans alerte explicite. Selon Check Point, le mécanisme Moniker Link contourne les restrictions en utilisant la syntaxe file avec un point d’exclamation pour charger un RTF distant.
Cette analyse technique aboutit à une liste claire des versions affectées et des builds corrigés pour Office et Microsoft 365. La connaissance précise des versions aide les équipes IT à prioriser le déploiement des correctifs.
Versions affectées :
- Microsoft 365 Apps for Enterprise affecté sur plusieurs canaux
- Microsoft Office 2021 affecté en éditions 32 et 64 bits
- Microsoft Office 2019 affecté en éditions 32 et 64 bits
- Microsoft Office 2016 affecté en éditions 32 et 64 bits
Produit
Canal / Build
Statut
Office 2021
Version 2401 (Build 17231.20236)
Correctif disponible
Office 2019
Version 2401 (Build 17231.20236)
Correctif disponible
Office 2016
Version 2401 (Build 17231.20236)
Correctif disponible
Microsoft 365 Apps
Current Channel 2401 (Build 17231.20236)
Correctif disponible
Technique d’attaque et exemples de campagnes
Ce sous-élément explique comment des campagnes exploitent le bug sans interaction explicite, notamment via des RTF piégés et des liens Moniker. Les opérateurs utilisent des fichiers RTF spécialement formés pour déclencher le flux OLE dans la prévisualisation d’Outlook.
Selon Elastic Security Labs, des familles comme FinalDraft exploitent la messagerie pour transmettre des commandes via des brouillons d’email, rendant la détection plus difficile. Selon 01net, ces techniques suppriment les traces après usage pour compliquer l’analyse post-incident.
« J’ai vu notre serveur Exchange compromis après l’ouverture accidentelle d’un mail piégé, la machine a été verrouillée rapidement »
Claire N.
Impact sectoriel et cas concret NovaTech
Ce segment illustre l’impact sur une entreprise fictive, la société NovaTech, ciblée via un phishing simulé et une faille OLE exploitée en 2025. NovaTech a constaté exfiltration de données et création de comptes locaux à privilèges, nécessitant un confinement d’urgence.
La leçon pour les DSI est claire : combiner correctifs, segmentation réseau et règles de détection pour limiter la surface d’attaque. Cette analyse prépare au passage aux mesures opérationnelles présentées ensuite.
Mesures immédiates et bonnes pratiques pour entreprises
Enchaînant avec l’évaluation des risques, il est essentiel d’appliquer rapidement le correctif fourni par Microsoft sur les postes et serveurs Exchange exposés. L’installation du patch réduit le risque d’exploitation et doit être priorisée par les équipes de sécurité.
Selon Microsoft, le déploiement des mises à jour de janvier 2025 corrige la vulnérabilité critique dans Outlook et le composant OLE. Selon Elastic Security Labs, des mesures complémentaires comme la désactivation du volet de prévisualisation limitent les attaques zero-click.
Mesures temporaires :
- Désactivation du volet de prévisualisation dans Outlook
- Affichage des emails en texte brut sur postes sensibles
- Restriction du protocole NTLM sur les réseaux internes
- Règles Sigma pour détection des RTF suspects
Actions techniques immédiates
Les administrateurs doivent inventorier les versions Office et appliquer les builds corrigés selon le canal d’exploitation de leur parc. La segmentation réseau et le durcissement des comptes à privilège doivent accompagner le patching.
Un tableau comparatif aide à prioriser les systèmes critiques avant un déploiement global. Les équipes peuvent utiliser ce repère pour établir un plan d’urgence coordonné et mesurable.
Mesure
Effet
Priorité
Patch Outlook et Office
Blocage de l’exploitation OLE
Haute
Désactivation prévisualisation
Réduction des vecteurs zero-click
Moyenne
Affichage texte brut
Neutralisation du HTML/RTF
Moyenne
Règles Sigma
Détection d’IOCs RTF
Haute
« Nous avons appliqué le patch et réduit l’alerte critique en moins de vingt-quatre heures »
Marc N.
Politiques, formation et outils de détection
Cette partie relie les actions techniques aux politiques de gouvernance, indispensables pour maintenir une posture défensive durable. La sensibilisation au phishing et l’audit régulier des configurations Exchange sont essentiels pour limiter les risques humains.
Les antivirus seuls ne suffisent pas face aux techniques zero-click ciblant le flux OLE, et la surveillance centralisée via un Centre de cybersécurité améliore la réponse. L’intégration de règles Sigma augmente la probabilité de détection précoce.
« L’alerte a déclenché notre plan de réponse, ce qui a évité une compromission étendue »
Sophie N.
Veille, échanges et remédiation à long terme
Après la mise en œuvre des mesures immédiates, il convient d’installer une veille active sur les vulnérabilités et les campagnes de phishing ciblant Outlook et Exchange. Le suivi des indicateurs et des bulletins de sécurité réduit la fenêtre d’exposition aux nouvelles variantes d’attaque.
Selon Check Point, la découverte Moniker Link a mis en lumière l’importance des audits sur les protocoles de fichiers distants et les configurations NTLM. Selon Microsoft, la coordination avec les équipes Exchange et Office 365 reste primordiale pour un remédiation complète.
Priorités de remédiation :
- Surveillance continue des logs Exchange et des brouillons inhabituels
- Automatisation des mises à jour via gestion de parc
- Tests de pénétration réguliers orientés OLE et RTF
- Communication avec le centre de cybersécurité pour incidents
« Une politique proactive de patching et de formation a transformé notre résilience face à la menace »
Alex N.
Source : Microsoft, « Security update », Microsoft ; Check Point, « Moniker Link report », Check Point ; Elastic Security Labs, « FinalDraft analysis », Elastic Security Labs.