Patch Tuesday Juillet 2026

Vulnérabilités et Alertes

Patch Tuesday Juillet 2026

621 CVE, un record absolu, et surtout un bouquet de RCE 9.8 non authentifiées sur SharePoint, RDP et DHCP

Microsoft signe ce 14 juillet la plus grosse publication de son histoire : 621 CVE pour le mois, dont 63 critiques, deux failles activement exploitées et une divulguée publiquement. Selon ZDI, le cumul annuel dépasse déjà le total de n’importe quelle année sur les vingt dernières. L’essentiel n’est pas le volume brut, mais une poignée de RCE non authentifiées et un use-after-free VMSwitch qui, eux, méritent un traitement immédiat.

Sur la sévérité, Microsoft classe 63 CVE en Critique, 6 en Modérée, 1 en Basse, le reste en Important. Deux bugs sont exploités dans la nature, un troisième est publiquement connu. La ventilation par type, côté ZDI : près de 260 élévations de privilèges, 111 divulgations d’information, 35 dénis de service, 31 spoofing, 20 contournements de fonctionnalité de sécurité et 8 tampering, le solde en exécution de code à distance.

Précision de méthode, car les chiffres varient selon qui compte. ZDI retient 621 CVE en incluant les entrées Microsoft Edge (Chromium-based) et les services en ligne, mais écarte les ~480 bugs Chromium relistés. D’autres décomptes, comme celui de BleepingComputer, annoncent 570 en excluant Edge et les services en ligne. Le périmètre réellement corrigé par l’écosystème dépasse donc, quoi qu’il arrive, le chiffre affiché. À noter aussi, huit des correctifs de ce cycle proviennent du programme ZDI.

Les deux failles exploitées : AD FS et SharePoint

La première, CVE-2026-56155 (Active Directory Federation Services, EoP, CVSS 7.8), part d’une granularité insuffisante du contrôle d’accès. Elle exige un accès local et de faibles privilèges au départ, mais AD FS est exactement le type d’infrastructure d’identité par lequel un attaquant pivote une fois entré, et se marie volontiers avec une RCE dans les chaînes ransomware. Découverte par la DART de Microsoft, donc issue d’une réponse à incident. À tester et déployer vite.

La seconde, CVE-2026-56164 (SharePoint Server, EoP), n’affiche qu’un CVSS 5.3 et une sévérité « modérée ». C’est précisément l’illustration que la note ne fait pas tout : authentification manquante, exploitable sur le réseau, sans interaction utilisateur. Quand quelque chose d’aussi accessible est déjà abusé, on corrige d’abord et on discute du score ensuite. Mitigation en attendant : activer AMSI sur le serveur et passer le Request Body Scan sur « Full ».

SharePoint, la vraie histoire du mois

Au-delà de la Zero-Day modérée, SharePoint concentre les bugs les plus dangereux du cycle. La paire CVE-2026-50522 et CVE-2026-58644 (RCE, CVSS 9.8) résulte d’une désérialisation de données non fiables, atteignable sans authentification et sans interaction. La 50522 a été démontrée au Pwn2Own Berlin, ce qui rend surprenant son statut « Exploit Maturity Unknown » chez Microsoft : une bonne raison de faire sa propre évaluation du risque plutôt que de s’en remettre à 100 % à l’éditeur. S’y ajoute CVE-2026-55040 (contournement de fonctionnalité de sécurité, CVSS 9.1), une authentification faible. Si vous avez le moindre serveur SharePoint exposé sur Internet, ces trois-là passent en tête, dans la même vague de correctifs.

VMSwitch : le CVSS le plus élevé du mois

CVE-2026-57092 (VMSwitch, EoP) décroche le plus haut score du cycle, un solide CVSS 9.9. C’est un use-after-free qui permet à un attaquant peu privilégié de s’élever jusqu’à la compromission complète de l’hôte, en franchissant la frontière de machine virtuelle. On a vu ce type de scénario démontré sur ESXi au Pwn2Own Berlin, et il n’est manifestement pas isolé. Si vous utilisez VMSwitch dans vos déploiements Hyper-V, et c’est très probable, testez et déployez ce correctif rapidement.

DHCP : cinq RCE, dont une sans réserve

Le service DHCP ne connaît pas de répit : cinq exécutions de code à distance ce mois-ci. Côté serveur, CVE-2026-50370, CVE-2026-56159 et CVE-2026-48564, plus la cousine cliente CVE-2026-54128. La plus nette est CVE-2026-50518 (heap-based buffer overflow, CVSS 9.8, non authentifiée, atteignable sur le réseau), sans les réserves d’exploitation des autres. Si un rôle DHCP Server traîne sur quoi que ce soit d’exposé, il monte tout en haut de la liste.

RDP, Server Network driver, TCP/IP : le réseau exposé

À ne pas manquer, une RCE oubliée des synthèses rapides : CVE-2026-56190 (Remote Desktop Protocol, RCE, CVSS 9.8, non authentifiée, sans interaction), causée par l’utilisation d’une ressource non initialisée. Un trafic RDP spécialement conçu manipule une mémoire jamais initialisée et peut orienter l’exécution de code. Les serveurs RDP restent une cible de choix : auditez ceux qui sont exposés sur Internet et commencez par là.

CVE-2026-56188 (Server Network driver, RCE, CVSS 9.8) repose sur une race condition, notoirement délicate à exploiter de façon fiable, mais permettrait l’exécution de code privilégié sur le réseau sans interaction. Ne laissez pas la mention « race condition » vous endormir sur un bug potentiellement wormable. À compléter par CVE-2026-54999 (TCP/IP), les deux RCE du driver de multicast RMCAST CVE-2026-54982 et CVE-2026-54995, la CVE-2026-50694 (SSTP), la CVE-2026-58608 (Print Spooler) et la CVE-2026-54992 (MSMQ Queue Manager).

Exchange : un « Spoofing » qui est en réalité un XSS stocké dans OWA

Ignorez le titre de CVE-2026-55008 et traitez-la pour ce qu’elle est : un XSS stocké dans Outlook Web Access, coté CVSS 9.6, avec un changement de scope qui lui permet de sortir du contexte de l’application web. Un attaquant envoie un message spécialement conçu ; si la victime l’ouvre simplement dans OWA, du JavaScript arbitraire s’exécute dans sa session, sans pièce jointe ni avertissement de macro. Si vous utilisez OWA, testez et déployez ce correctif rapidement.

Dynamics, Copilot, Defender, SQL

CVE-2026-55944 (Dynamics NAV et 365 Business Central On-Prem, RCE, CVSS 9.8) partage la même désérialisation que la paire SharePoint : non authentifiée, atteignable sur le réseau, facile à oublier parce que ce n’est pas SharePoint. À proximité du sommet, CVE-2026-48561 (Microsoft Copilot, RCE, 9.6) et CVE-2026-50380 (GDI+, RCE, 9.6). Complètent le tableau critique : CVE-2026-55011 et CVE-2026-55012 (Defender), CVE-2026-54117 et CVE-2026-54118 (SQL Server, 8.8), et le bug qui ferait sourire s’il n’était pas réel, CVE-2026-55010 (Minecraft Bedrock Dedicated Server, RCE, 9.8, non authentifiée).

Le cluster systèmes de fichiers

Un motif à surveiller : 14 RCE Windows NTFS et 7 RCE ReFS, soit 21 bugs de drivers de système de fichiers dans une seule livraison. Un cluster de cette taille suggère une cause racine commune plutôt que 21 problèmes indépendants. Aucun n’est critique ni exploité, mais l’ampleur mérite d’être notée, et le lot se traite naturellement en une passe.

BitLocker et la chaîne de démarrage

CVE-2026-50661 (BitLocker, contournement, CVSS 6.1) est le seul bug publiquement divulgué du mois. Non exploité à ce stade, mais une divulgation publique est un compte à rebours, pas un blanc-seing. Elle exige un accès physique, tout comme le bug de Microsoft XML. À rapprocher d’un cluster firmware et démarrage, Secure Boot, Boot Loader et Key Guard, qui touchent la chaîne de confiance sous l’OS : score faible, mais enjeux du type « si ça tombe, plus rien au-dessus n’est fiable ». Sur le parc nomade, TPM + PIN reste la réponse structurelle.

Identité et infrastructure de mise à jour

Côté identité, CVE-2026-49164 (Active Directory Domain Services, RCE, 8.1) et CVE-2026-54121 (AD Certificate Services, EoP, 8.8). Côté chaîne de mise à jour, deux entrées WSUS : CVE-2026-50444 (EoP, 8.8) et CVE-2026-50328 (tampering non authentifié sur le service de mise à jour, sur le réseau). Quand c’est l’infrastructure de patch management elle-même qui devient la cible, l’attention doit redoubler. À signaler enfin, sept dénis de service AD FS (CVSS 7.5), tous exploitables sans authentification sur le réseau.

Au-delà de Microsoft : Adobe

Pour la première partie de sa nouvelle cadence bimensuelle, Adobe publie 12 bulletins couvrant 88 CVE, sur ColdFusion, Commerce, After Effects, Animate, Audition, Bridge, Creative Cloud, Experience Manager, Illustrator, Media Encoder, Premiere Pro et le Content Credentials SDK. Rien n’est sous exploitation active au moment de la sortie. À prioriser malgré tout : ColdFusion, qui embarque un bug CVSS 9.9, puis Commerce. Le reste suit votre cadence habituelle.

Ce qu’il faut prioriser

PérimètreFailles clésPourquoi
SharePoint exposéCVE-2026-50522, 58644, 55040, 56164RCE 9.8 non authentifiées (Pwn2Own) + EoP exploitée
VMSwitch / Hyper-VCVE-2026-57092CVSS 9.9, use-after-free, VM vers hôte
AD FSCVE-2026-56155EoP exploitée, pivot d’identité
DHCPCVE-2026-50518 et 4 autresCinq RCE, dont une 9.8 sans réserve
RDP / Server Network driverCVE-2026-56190, 56188RCE 9.8 non authentifiées, une potentiellement wormable
Exchange OWACVE-2026-55008XSS stocké 9.6, exécution à la lecture
Postes nomadesCVE-2026-50661Contournement BitLocker, seul bug divulgué

Deux failles exploitées imposent le tempo, mais la vraie surface de risque de ce cycle tient aux RCE non authentifiées à 9.8, SharePoint, RDP, DHCP, Dynamics, et au use-after-free VMSwitch à 9.9. À noter en toile de fond, la mise en garde de Microsoft sur un volume durablement élevé, qu’il rattache à un système de découverte assisté par IA appliqué au code Windows : un point relevé par la presse plus que par les analystes techniques, mais qui, s’il se confirme, changera l’échelle des prochains cycles.

🎧 Ce Patch Tuesday fait l’objet d’un épisode spécial de RadioCSIRT : Épisode 696 — Édition spéciale Patch Tuesday juillet 2026.

Sources

Zero Day InitiativeThe July 2026 Security Update Review • 14 juillet 2026 BleepingComputerMicrosoft July 2026 Patch Tuesday fixes massive 570 flaws, 3 zero-days • 14 juillet 2026 Microsoft Security Response Center • Release Note juillet 2026 RadioCSIRTÉpisode 696