CVE‑2025‑21298 (Windows OLE) : impact sur Windows Server, gravité (CVSS 9,8), correctif et mesures d’urgence

CVE‑2025‑21298 (Windows OLE) est une faille RCE critique (CVSS 9,8) qui touche aussi Windows Server. Elle peut être déclenchée via des e‑mails (RTF/objets OLE) à l’ouverture ou à l’aperçu dans Outlook. Voici l’impact, les versions concernées, le correctif et les mesures immédiates.

Vue d’ensemble de la question

Le CVE‑2025‑21298 concerne‑t‑il Windows Server ? Oui. La vulnérabilité réside dans Windows OLE (composant du système) et affecte les éditions Windows Server prises en charge, ainsi que des versions plus anciennes encore présentes en production.

Est‑il critique ? Oui. Classé Critique, CVSS v3.1 = 9,8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Microsoft a évalué l’exploitabilité comme « plus probable » et la communauté sécurité a documenté un scénario e‑mail/RTF exploitant le volet de lecture d’Outlook (zéro‑clic/preview).

Quelle est la résolution ? Installer immédiatement les mises à jour de sécurité publiées le 14 janvier 2025 (et ultérieures). Si le patch ne peut pas être déployé tout de suite : forcer la lecture en texte brut dans Outlook, bloquer les pièces jointes RTF au niveau Exchange/Defender for Office 365 et renforcer la posture (ASR/EDR, moindre privilège, sensibilisation).

Ce que c’est (en bref, précis)

• Nature : vulnérabilité d’exécution de code à distance (RCE) dans Windows OLE (ole32.dll). Microsoft décrit une faiblesse de type Use‑After‑Free (CWE‑416).
• Vecteur emblématique : e‑mails RTF/objets OLE pouvant se déclencher à l’ouverture ou à l’aperçu (volet de lecture) dans Outlook.
• Gravité : Critique, CVSS 9,8 (attaque à distance, complexité faible, pas d’authentification ni d’interaction requises dans certains enchaînements).
• Technique : analyses publiques indiquent une corruption mémoire dans OLE (par ex. via des données RTF malformées) et citent des fonctions d’ole32.dll impliquées.

Applicabilité à Windows Server

Oui, la faille touche les branches Windows Server. Les builds ci‑dessous correspondent au niveau minimal corrigé (les versions antérieures sont vulnérables). Installez au moins ces versions ou toute mise à jour plus récente :

Édition Windows Server	Build minimum corrigé (≥)	Publication (Patch Tuesday)	KB de janvier 2025	Remarques
Windows Server 2016 (1607)	10.0.14393.7699	14 janvier 2025	KB5049993	Versions ≤ 14393.7698 vulnérables.
Windows Server 2019 (1809)	10.0.17763.6775	14 janvier 2025	KB5050008	Versions ≤ 17763.6774 vulnérables.
Windows Server 2022	10.0.20348.3091	14 janvier 2025	KB5049983	Builds antérieurs vulnérables.
Windows Server 2022 23H2 (AC)	10.0.25398.1369	14 janvier 2025	KB5049984	Builds antérieurs vulnérables.
Windows Server 2025 (26100)	10.0.26100.2894	14 janvier 2025	KB5050009	Builds antérieurs vulnérables.
Windows Server 2012 / 2012 R2	N/A (Hors support général)	14 janvier 2025 (ESU)	KB5050004 (2012), KB5050048 (2012 R2)	Mises à jour uniquement via ESU jusqu’au 13 octobre 2026.
Windows Server 2008/2008 R2	Hors ESU (terminé)	—	—	Plus de correctifs standards ; migration impérative.

Important : Les environnements « legacy » (2012/2012 R2) ne reçoivent les correctifs que si un contrat ESU actif est en place (ou via Azure pour certains scénarios). Les hôtes 2008/2008 R2 sont au‑delà des fenêtres ESU classiques.

Pourquoi la menace est sérieuse (et concrète)

• Surface d’attaque large : OLE est un composant du système. Même si un serveur n’exécute pas Outlook, il reste vulnérable si des contenus OLE/RTF malveillants sont traités (ex. ouverture par un outil Office installé, scripts, automatisations, services tiers).
• Chaîne e‑mail réaliste : des campagnes peuvent livrer un message spécialement conçu ; l’aperçu dans Outlook a été mentionné comme vecteur de déclenchement—d’où l’intérêt d’un basculement temporaire en texte brut.
• Probabilité d’exploitation : classée « plus probable » par Microsoft. Des résumés techniques publics (recherche sécurité) décrivent la faille et ses primitives.

Résolution prioritaire (patch recommandé)

1. Déployer les mises à jour de janvier 2025 (ou plus récentes) pour chaque édition Windows Server présente (2016/2019/2022/2022 23H2/2025). Visez au minimum les builds cités plus haut.
2. Redémarrer quand requis (les correctifs OLE impliquent des binaires système).
3. Vérifier la build (voir les commandes ci‑dessous) et documenter la conformité (CMDB, rapport de changement).

Vérification rapide après correctif

# 1) Lire la build exacte (build.UBR) sur un serveur
$cv = Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion'
"{0}.{1}" -f $cv.CurrentBuild, $cv.UBR  # Exemple: 17763.6775

# 2) Contrôle automatique vs seuils corrigés

\$thresholds = @{
'Windows Server 2016'      = \[version]'10.0.14393.7699'
'Windows Server 2019'      = \[version]'10.0.17763.6775'
'Windows Server 2022'      = \[version]'10.0.20348.3091'
'Windows Server 2022 23H2' = \[version]'10.0.25398.1369'
'Windows Server 2025'      = \[version]'10.0.26100.2894'
}

# Adapter '\$osName' et '\$current' à votre inventaire

\$osName  = (Get-ComputerInfo).OsName
\$build   = "\$(\$cv.CurrentBuild).\$(\$cv.UBR)"
\$current = \[version]\("10.0." + \$build)
\$min     = \$thresholds.GetEnumerator() | Where-Object { \$osName -like "*\$($\_.Key)*" } | Select-Object -ExpandProperty Value
if (\$min) {
if (\$current -ge \$min) { "OK: \$osName est corrigé (≥ \$min)" } else { "VULNÉRABLE: \$osName \$current < \$min" }
} else {
"OS non mappé automatiquement : vérifiez manuellement la table des builds."
} 

Mesures compensatoires (si un patch immédiat n’est pas possible)

1. Outlook ▶ Forcer la lecture en texte brut (poste utilisateur) : Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre… → Sécurité de la messagerie → activer « Lire tout le courrier standard en texte brut ». Impact : pas de rendu HTML/RTF (réduit les déclencheurs OLE).
2. Exchange/Defender for Office 365 ▶ Bloquer les pièces jointes RTF (règle de flux). Exemple PowerShell (Exchange Online) :

# Bloquer .rtf en entrée (temporaire)
New-TransportRule -Name "Blocage RTF (temporaire)" `
  -AttachmentExtensionMatchesWords "rtf" `
  -RejectMessageReasonText "Pièces jointes RTF temporairement bloquées (CVE-2025-21298)" `
  -StopRuleProcessing $true -Enabled $true

# Option: journaliser plutôt que rejeter (phase d'observation)

New-TransportRule -Name "Journal RTF (temporaire)" `  -AttachmentExtensionMatchesWords "rtf"`
-GenerateIncidentReport "[security@exemple.com](mailto:security@exemple.com)" -Enabled \$true 

• Ajoutez des exceptions si nécessaire (ex. -ExceptIfSenderDomainIs pour des tiers de confiance), et surveillez le débit de faux positifs.

3. Réduire l’impact en cas de succès : principe de moindre privilège, segmentation, protection des comptes à privilèges, surveillance EDR.
4. ASR (Microsoft Defender for Endpoint) : activer au minimum :
   • Bloquer tous les processus enfants des applications Office.
   • Bloquer les appels Win32 API depuis les macros Office.
   • Empêcher les applications Office d’injecter du code dans d’autres processus.
   Déployez d’abord en Audit, évaluez l’impact, puis basculez en Blocage avec exclusions ciblées.
5. Sensibilisation : rappeler la prudence face aux pièces jointes inattendues—even d’expéditeurs connus—et signaler tout comportement Outlook anormal (aperçus qui « gèlent », erreurs inhabituelles).

Procédures pas à pas (opérationnelles)

1) Patch management (WSUS/Intune/ConfigMgr)

• Windows Server 2016 : déployer KB5049993 (B‑release 14/01/2025) puis valider build ≥ 14393.7699.
• Windows Server 2019 : déployer KB5050008, build ≥ 17763.6775.
• Windows Server 2022 : déployer KB5049983, build ≥ 20348.3091.
• Windows Server 2022 23H2 : déployer KB5049984, build ≥ 25398.1369.
• Windows Server 2025 : déployer KB5050009, build ≥ 26100.2894.
• Windows Server 2012/2012 R2 (ESU) : déployer KB5050004 (2012) / KB5050048 (2012 R2) après le SSU requis. Sans ESU actif : pas de correctif.

2) Outlook poste utilisateur ▶ lecture en texte brut

1. Ouvrir Outlook → Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre… → Sécurité de la messagerie.
2. Cocher Lire tout le courrier standard en texte brut (et, si nécessaire, Lire tous les mails signés numériquement en texte brut).
3. Informer les utilisateurs : perte temporaire du rendu HTML (logos, styles).

3) Exchange Online ▶ règle de flux pour RTF

1. Centre d’administration Exchange → Flux de messagerie → Règles → Nouvelle règle.
2. Condition : Si une pièce jointe a une extension correspondant aux mots → rtf.
3. Action : Rejeter le message (ou mettre en quarantaine/ajouter un avertissement), arrêter le traitement des règles.
4. Exclusions : comptes VIP/partenaires si vous maitrisez le risque (sinon, éviter).

4) ASR (Defender for Endpoint)

Créer une stratégie Attack surface reduction dans Intune : activer les règles citées plus haut en Audit, relever l’impact via les rapports MDE, puis passer en Blocage par vagues (anneaux de déploiement). Ajouter des exclusions par signature/chemin si nécessaire.

Détection / Surveillance (EDR/SIEM)

• Corrélations parent‑enfant : processus OUTLOOK.EXE → WINWORD.EXE déclenché à l’ouverture/aperçu, surtout si la session réseau pointe vers une pièce jointe RTF ou un chemin temporaire.
• Activités OLE anormales : chargement de ole32.dll suivi d’API typiques d’activation OLE, puis exécution non prévue (scripts, shell, binaires éphémères).
• Logs ASR : basculer en Audit pour établir une ligne de base, puis en Blocage et vérifier la baisse des tentatives bloquées.

Bonnes pratiques complémentaires

• Désactiver/limiter Office sur les serveurs n’ayant pas besoin d’Outlook/Word ; préférer des bastions d’administration dédiés.
• Principe du moindre privilège sur les comptes de service et les tâches planifiées (réduit l’impact d’une exécution arbitraire).
• Inventaire & mise à jour : assurez la cohérence (mêmes builds) sur un même rôle serveur (clusters, fermes RDS, RDCB/RDGW, etc.).
• Plan de migration pour 2012/2012 R2/2008 R2 : prévoir l’upgrade (Windows Server 2022/2025) si l’ESU n’est plus viable.

FAQ (rapide)

Q : Le correctif de janvier 2025 suffit‑il ?
R : Oui, si tous les serveurs sont à un build au moins égal aux seuils ci‑dessus (ou plus récents). Maintenez le rythme mensuel (B‑release) : des durcissements et correctifs connexes peuvent s’y ajouter.

Q : Nous n’utilisons pas Outlook sur les serveurs, sommes‑nous exposés ?
R : Oui, la vulnérabilité est dans OLE (système). Le vecteur Outlook/RTF est courant, mais toute application traitant des contenus OLE/RTF peut potentiellement exposer le serveur. Patch obligatoire.

Q : Faut‑il couper le volet de lecture Outlook ?
R : Le mode « Texte brut » est plus simple, efficace et réversible. Couper le volet de lecture peut réduire certains déclencheurs, mais n’est pas suffisant seul.

Q : Quid des versions 2012/2012 R2 ?
R : Corrigeable via ESU (jusqu’au 13/10/2026) ; sans ESU, pas de patch officiel → réduire le risque (contrôles en périphérie/EDR) et planifier la migration.

Checklist de remédiation (à cocher)

• ▢ Inventaire des versions Windows Server et collecte des builds.
• ▢ Déploiement des KB de janvier 2025 (ou plus récents) sur 2016/2019/2022/2022 23H2/2025.
• ▢ Contrôle post‑patch : build ≥ seuil minimal corrigé.
• ▢ Règle Exchange Online : blocage .rtf en entrée (temporaire) + journalisation.
• ▢ Outlook : lecture en texte brut (temporaire) et communication utilisateurs.
• ▢ ASR : Audit → Blocage (en anneaux), exclusions minimales, suivi des alertes.
• ▢ Mise à jour des runbooks (N1/N2/N3) et des tableaux muraux SOC (indicateurs, procédures).

À retenir

• Oui, CVE‑2025‑21298 s’applique à Windows Server (dont 2016/2019/2022/2022 23H2/2025, et 2012/2012 R2 via ESU).
• Gravité : Critique (CVSS 9,8), OLE RCE, exploitabilité plus probable, e‑mail/RTF pouvant se déclencher à l’aperçu Outlook.
• Solution : patcher sans délai (KB de janvier 2025 ou plus récents) et appliquer des contrôles temporaires (texte brut, blocage RTF, ASR/EDR) jusqu’au déploiement complet.

Références (pour approfondir)

Fiches et analyses : NVD (CVE‑2025‑21298), Microsoft Security Response Center (MSRC), blogs sécurité reconnus (CrowdStrike, OffSec, Tenable), historiques de builds Microsoft (Windows Server 2016/2019/2022/2025), documentation Outlook (lecture en texte brut), documentation Exchange (règles de flux, inspection d’attachements), documentation Defender for Endpoint (règles ASR).

---

Dernière vérification : août 2025. Pensez à contrôler mensuellement les Bulletins/KB B‑release pour rester au‑dessus des niveaux corrigés.