Zero day RCE — CVE-2025–21298

La nouvelle vulnérabilité CVE-2025–21298 a été publié le 14 janvier 2025 et permet de faire une exécution de code a distance (RCE) avec uniquement l’utilisation d’un email malveillant. Obtenant un score CVSS de 9.8 / 10, elle est très critique et mérite notre attention ainsi qu’une correction.

Elle touche les systèmes windows qui n’ont pas eu le patch Thuesday microsoft de janvier 2025. D’après ce que l’on sait, elle n’est pas encore exploité dans la nature mais elle nous rappelle a quel point les emails sont un vecteur d’attaque courant pour les cyberattaquants.

Cette vulnérabilité semble lié aux Windows Object Linking and Embedding (OLE), une technologie développée par Microsoft qui permet d’intégrer ou de lier des objets dans des documents ou des applications.

Les attaquants exploitent cette vulnérabilité en envoyant un email crafté a la victime qui, s’il est ouvert ou preview dans microsoft Outlook, va directement activer les OLE afin de faire une execution de code a distance sur la machine de la victime.

Ce qui fait que cette vulnérabilité est critique, est qu’elle n’a pas besoin d’action de l’utilisateur (sauf preregarder le mail) afin d’executer une RCE.

A l’heure qu’il est, il n’y a pas de POC de la vulnérabilité de publié mais il faut rester vigilant face a ce type d’attaque.

A noter que la vulnérabilité a été trouvé par les chercheurs Rotiple, Jmini et D4m0n dans le cadre de “Zero Day Initiative”.

Ressources

https://nvd.nist.gov/vuln/detail/CVE-2025-21298 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21298 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0039/ https://www.cve.org/CVERecord?id=CVE-2025-21298 https://securityonline.info/microsoft-patches-outlook-zero-click-cve-2025-21298-exploits-rce-via-emails/ https://en.wikipedia.org/wiki/Object_Linking_and_Embedding