200 vulnérabilités, trois Zero-Day et un BitLocker contourné au clavier
Microsoft a publié ce mardi 9 juin son lot mensuel de correctifs, et la cuvée est lourde :
200 vulnérabilités corrigées sur le seul périmètre des produits Microsoft, dont 33 classées critiques et trois Zero-Day divulguées publiquement avant correctif.
Aucune de ces trois failles n’est connue pour être exploitée à la date de publication, ce qui laisse aux défenseurs une fenêtre de déploiement encore intacte. Elle ne le restera pas longtemps : la rétro-ingénierie des correctifs commence généralement dans les heures qui suivent leur diffusion.La ventilation donne le ton du mois. Les élévations de privilèges arrivent largement en tête avec 65 entrées, suivies de 55 exécutions de code à distance, 30 divulgations d’information, 27 vulnérabilités de Spoofing, 19 contournements de fonctionnalité de sécurité et 7 dénis de service. Sur les 33 failles critiques, 28 relèvent de l’exécution de code à distance : l’essentiel du risque de ce cycle tient donc à la capacité d’un attaquant à exécuter du code sur les systèmes visés.
Précision de méthode : ce décompte, établi par Microsoft et les sources comme BleepingComputer, ne couvre que les correctifs publiés le 9 juin. Il exclut les failles déjà traitées plus tôt dans le mois sur Mariner, Azure HorizonDB, les déclinaisons de Copilot, Exchange Online ou Microsoft Graph, ainsi que les 360 vulnérabilités Edge et Chromium corrigées par Google sur la base de code partagée. Le périmètre réellement patché par l’écosystème Microsoft en juin dépasse donc nettement le chiffre officiel.
CTFMON, ou l’élévation de privilèges par résolution de lien
La première Zero-Day, référencée CVE-2026-45586, touche le Windows Collaborative Translation Framework, plus connu sous le nom de son processus, CTFMON. La mécanique repose sur une résolution de lien incorrecte avant l’accès au fichier, le classique link following : un attaquant déjà authentifié sur la machine en tire une élévation locale de privilèges jusqu’au niveau SYSTEM, soit le contrôle complet du poste. Microsoft attribue la découverte à un chercheur anonyme, sans détailler les circonstances de la divulgation.
HTTP/2 Bomb : la petite requête qui sature la mémoire
La deuxième Zero-Day est sans doute la plus intéressante techniquement. Référencée CVE-2026-49160, elle affecte HTTP.sys, le pilote en mode noyau qui traite les requêtes HTTP de Windows. Ses découvreurs, Quang Luong et Codex de la société de sécurité offensive Calif, l’ont baptisée « HTTP/2 Bomb ».
Le principe détourne la manière dont le protocole HTTP/2 compresse et gère les en-têtes du trafic web. En envoyant une quantité de données très faible, un attaquant non authentifié contraint le serveur à allouer une mémoire disproportionnée. Pire : en manipulant les paramètres de contrôle de flux, il maintient cette mémoire mobilisée et empêche le serveur de libérer ses ressources, ce qui dégrade les performances jusqu’à l’interruption de service.
Au-delà du correctif, Microsoft introduit une nouvelle clé de registre, MaxHeadersCount, qui permet de limiter le nombre d’en-têtes acceptés dans les requêtes HTTP/2 et HTTP/3. La mise en œuvre est documentée dans le bulletin de support KB5102602. Un réglage qui mérite d’intégrer les référentiels de durcissement des serveurs web Windows exposés.
YellowKey : BitLocker contourné depuis l’environnement de récupération
La troisième Zero-Day touche au chiffrement de disque. La CVE-2026-50507 corrige un contournement de BitLocker exploitable par attaque physique : un attaquant disposant d’un accès local à la machine pouvait accéder au contenu d’un disque pourtant chiffré.
Derrière ce correctif officiellement attribué à un chercheur anonyme se cache en réalité la vulnérabilité « YellowKey », divulguée publiquement le mois dernier par le chercheur opérant sous le pseudonyme Nightmare Eclipse. Le mode opératoire est d’une simplicité déconcertante : des fichiers spécialement conçus sont déposés sur une clé USB ou sur la partition EFI, la machine est redémarrée dans l’environnement de récupération de Windows, le WinRE, et le maintien de la touche CTRL déclenche l’ouverture d’un shell de commande disposant d’un accès sans restriction aux volumes protégés par BitLocker.
Les systèmes visés en priorité sont ceux configurés en protection BitLocker reposant uniquement sur le TPM, sous Windows 11 et Windows Server 2022 et 2025. Microsoft avait diffusé des mitigations temporaires, au premier rang desquelles le passage à une authentification TPM + PIN plutôt que le TPM seul.
Le contexte de cette divulgation mérite l’attention des équipes CTI. Nightmare Eclipse a publié toute une série de Zero-Day Windows ces dernières semaines, dont BlueHammer, MiniPlasma, RedSun et UnDefend, en protestation contre la gestion par Microsoft de son programme de bug bounty et de divulgation coordonnée. YellowKey est la première de cette série à recevoir un correctif accompagné d’un CVE dans un cycle Patch Tuesday régulier. Plusieurs des autres failles divulguées restent à traiter, et la dynamique de publication hors cadre coordonné se poursuit.
Remote Desktop Client : un cluster inhabituel
Au-delà des Zero-Day, deux familles de produits concentrent l’essentiel des failles critiques. La première, et la plus inhabituelle, est le Remote Desktop Client, qui cumule à lui seul une douzaine de vulnérabilités d’exécution de code à distance, dont sept critiques : CVE-2026-42985, CVE-2026-47289, CVE-2026-47654, CVE-2026-42992, CVE-2026-44801, CVE-2026-44799 et CVE-2026-48563. Le scénario de risque est celui d’un serveur RDP malveillant ou compromis qui retourne l’attaque contre le poste client au moment de la connexion. Pour les organisations dont les utilisateurs se connectent à des bureaux distants hétérogènes, prestataires ou environnements partenaires, ce bloc mérite la priorité haute.
Office : la série noire d’Outlook et Word
La seconde famille est la suite Office, avec une série d’exécutions de code à distance critiques touchant notamment le couple Outlook et Word : CVE-2026-45458, CVE-2026-47635 et CVE-2026-45456, auxquelles s’ajoutent les CVE-2026-45463, CVE-2026-45474, CVE-2026-45472 et CVE-2026-45461, ainsi qu’une divulgation d’information classée critique, la CVE-2026-45460. Le vecteur d’entrée reste le document piégé, avec, pour les failles Outlook, le spectre habituel du volet de prévisualisation. Excel et Word complètent le tableau avec leur propre lot d’exécutions de code de niveau important.
Hyper-V, Kerberos, Active Directory : le cœur d’infrastructure touché
La couche d’infrastructure n’est pas épargnée. Hyper-V écope de trois exécutions de code à distance critiques, les CVE-2026-45641, CVE-2026-47652 et CVE-2026-45607, dont le scénario redouté est l’évasion d’une machine virtuelle invitée vers l’hôte. Dans les environnements mutualisés, c’est la faille qui justifie une fenêtre de maintenance anticipée.
Côté identité, la CVE-2026-47288 vise le Key Distribution Center de Kerberos, le KDC, en exécution de code à distance critique : on touche ici au cœur des contrôleurs de domaine. Elle est accompagnée de la CVE-2026-45648, une exécution de code critique dans les Active Directory Domain Services, et de deux dénis de service Kerberos. Sur ce périmètre, la priorisation ne se discute pas.
La chaîne de confiance au démarrage constitue enfin une famille à part entière ce mois-ci : Secure Boot et UEFI cumulent une dizaine de contournements de fonctionnalité de sécurité, parmi lesquels les CVE-2026-45588, CVE-2026-45654, CVE-2026-48570, CVE-2026-8863 et CVE-2026-45656, complétés par trois failles BitLocker, dont YellowKey, et un contournement du Windows Boot Manager, la CVE-2026-47656. Classées en niveau important, ces failles n’en touchent pas moins le terrain de jeu privilégié des bootkits.
On signalera encore quelques entrées notables : la CVE-2026-44810, une élévation de privilèges critique dans les services cryptographiques de Windows ; la CVE-2026-44815, une exécution de code critique dans le client DHCP, exploitable par un serveur DHCP malveillant ; la CVE-2026-47291, une exécution de code critique dans HTTP.sys, distincte de la HTTP/2 Bomb ; et deux exécutions de code critiques dans les composants graphiques Win32K GRFX, les CVE-2026-44812 et CVE-2026-44803.
Ce qu’il faut prioriser
| Périmètre | Failles clés | Pourquoi |
|---|---|---|
| Kerberos KDC / Active Directory | CVE-2026-47288, CVE-2026-45648 | Effet systémique sur les contrôleurs de domaine |
| Hyper-V | CVE-2026-45641, CVE-2026-47652, CVE-2026-45607 | Risque d’évasion de machine virtuelle vers l’hôte |
| Office / Outlook | CVE-2026-45458, CVE-2026-47635, CVE-2026-45456 | Vecteur du document piégé, déjà industrialisé |
| Remote Desktop Client | Sept CVE critiques | Exposition lors de connexions vers des serveurs RDP non maîtrisés |
| HTTP.sys | CVE-2026-49160, CVE-2026-47291 | Déni de service à bas coût et exécution de code sur serveurs web exposés |
Aucune faille de ce cycle n’étant exploitée à la date de publication, les défenseurs disposent d’une fenêtre rare : celle de patcher avant les attaquants. L’expérience des derniers mois montre toutefois qu’elle se referme vite. Le déploiement du correctif HTTP.sys gagne par ailleurs à s’accompagner du réglage MaxHeadersCount, et la saga Nightmare Eclipse, elle, ne fait que commencer : un fil à suivre de près dans les prochains cycles.
Sources
BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/
Microsoft Security Response Center — Release Note juin 2026 : https://msrc.microsoft.com/update-guide/releaseNote/2026-Jun
MSRC — CVE-2026-45586 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586
MSRC — CVE-2026-49160 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160
MSRC — CVE-2026-50507 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507
