Selon les informations du Centre des technologies de l'information et de la transformation numérique (Assurance sociale du Vietnam), Microsoft vient de mettre en garde contre 114 failles de sécurité très importantes et graves, existant dans ses produits en janvier 2026.
Ces failles peuvent être exploitées, ce qui compromet la sécurité des systèmes d'information utilisant les produits Microsoft, en particulier le système d'exploitation Windows.
Le point le plus notable de cette mise à jour est que Microsoft confirme qu'il existe jusqu'à trois failles inconnues qui ont été corrigées, dont au moins une a été exploitée en réalité. Cela fait de la correction de janvier 2026 une priorité absolue pour les équipes de sécurité et de gestion de système.
Immédiatement après avoir reçu l'alerte, l'Assurance sociale du Vietnam a vérifié, examiné et identifié les serveurs et les postes de travail utilisant le système d'exploitation susceptibles d'être affectés par les failles de sécurité susmentionnées. Pour les cas affectés, des mesures de mise à jour des correctifs pour les failles sont appliquées conformément aux instructions de Microsoft.
En outre, l'Assurance sociale du Vietnam renforce également la surveillance et prépare des plans de traitement en cas de détection de signes d'exploitation et de cyberattaques; et surveille régulièrement les canaux d'alerte des agences fonctionnelles et des grandes organisations en matière de sécurité de l'information afin de détecter rapidement les risques de cyberattaques.
Selon les statistiques de Microsoft, les 114 failles corrigées comprennent 57 failles d'escalade de privilèges, 22 failles d'exécution de code à distance, 22 failles de fuite d'informations, 5 fausses failles, 3 failles de dépassement des mécanismes de sécurité et 2 failles de refus de service. Le tableau d'ensemble montre que la surface des attaques reste fortement concentrée sur les mécanismes de privilèges et le traitement de la mémoire.
La faille la plus dangereuse de cette sortie est CVE-2026-20805, une faille de fuite d'informations qui ne nécessite pas d'authentification pour exploiter la faille. Bien qu'elle ne permette pas directement de prendre le contrôle du système, la fuite d'informations de mémoire peut devenir un maillon important dans les chaînes d'exploitation plus complexes.
Cette faille a été incluse par l'Agence américaine de cybersécurité et d'infrastructure dans la liste des failles exploitées, tout en demandant aux organisations de terminer le correctif avant le 3 février 2026.
Plus préoccupant pour l'environnement des entreprises est la faille CVE-2026-20854 dans les services de sécurité locale. Il s'agit d'un composant qui joue un rôle central dans le mécanisme d'authentification et de gestion des informations de connexion.
Selon Microsoft, un attaquant a des droits valides qui peuvent être exploités pour appliquer le code à distance via le réseau, créant de graves risques pour les systèmes et les infrastructures internes.
En raison de la vulnérabilité exploitée dans la pratique, Microsoft recommande aux organisations de tester et de déployer des correctifs en janvier 2026. Dans un contexte où les chaînes d'attaques sont de plus en plus sophistiquées et exploitent pleinement les vulnérabilités inconnues, cet avertissement n'est pas seulement une mise à jour périodique, mais aussi un travail de défense qui doit être effectué le plus tôt possible.
Ces failles de sécurité à haut niveau d'influence et graves peuvent être exploitées par les cibles d'attaques pour commettre des actes illégaux, entraînant un risque d'insécurité de l'information et affectant les systèmes d'information des agences, organisations et entreprises.
