Patch Tuesday Microsoft Mai 2026

Le Patch Tuesday du 12 mai 2026 présente une caractéristique notable. Selon les méthodologies retenues, Microsoft a publié des correctifs pour 118 à 138 vulnérabilités, dont 16 marquées comme critiques par Tenable et 31 entrées critiques selon la décomposition de Talos Intelligence (qui inclut des classifications légèrement différentes). La répartition par type d’impact donne 48,3 % d’élévations de privilèges, suivies de 24,6 % d’exécutions de code à distance. Mais la donnée centrale est ailleurs : pour la première fois depuis juin 2024, aucune des vulnérabilités corrigées n’était activement exploitée dans la nature ni publiquement divulguée au moment du Patch Tuesday (1)(2)(3).

Cette absence de zero-day rompt une séquence de 23 mois consécutifs, confirmée par Tenable, ZDI et Qualys. Dustin Childs du Zero Day Initiative résume la situation en notant qu’aucun des bugs corrigés par Microsoft ce mois-ci n’est listé comme publiquement connu ni sous attaque active (4). Cette accalmie offre aux administrateurs ce qu’AP7i qualifie de fenêtre rare permettant de patcher sans qu’un compteur d’exploitation ne soit lancé sur une CVE spécifique.

Le constat doit néanmoins être qualifié. L’absence de zero-day ne signifie pas l’absence de risque immédiat. Trois RCE à score CVSS 9.8 ou plus exploitables sans authentification figurent dans la file critique, dans des sous-systèmes structurants : Netlogon, le DNS Client, et Microsoft Dynamics 365. ZDI qualifie deux d’entre elles comme potentiellement wormables. Comme le note Jason Kikta d’Automox, des forêts Active Directory partiellement patchées ne constituent pas un état défendable face à une vulnérabilité non authentifiée sur les contrôleurs de domaine (5).

L’écart entre le nombre de CVE rapporté par les différentes sources (118 chez Tenable, 120 chez BleepingComputer et Cybersecurity News, 137 à 138 chez ZDI et The Hacker News) s’explique par les choix méthodologiques d’inclusion ou d’exclusion. Tenable exclut explicitement CVE-2025-54518, la vulnérabilité d’AMD sur le cache d’opcodes Zen 2 dont Microsoft a relayé l’advisory mais qui relève d’AMD. ZDI inclut les correctifs de produits périphériques (Edge Chromium-based, extensions Visual Studio, etc.) qui ne sont pas systématiquement comptabilisés. La fourchette de 118 à 138 reflète donc un consensus de fait sur un même release, simplement compté différemment (6).

Trois vulnérabilités à score CVSS 9.8 ou plus, exploitables sans authentification depuis le réseau, dominent les priorités opérationnelles du mois. Chacune cible un composant d’infrastructure utilisé à grande échelle.

CVE-2026-41089 : Windows Netlogon

CVE-2026-41089 est un débordement de tampon basé sur la pile dans Windows Netlogon, le service Windows Server utilisé pour l’authentification au sein d’un domaine. Le score CVSS 3.1 est de 9.8, qualifié comme critique. Un attaquant distant non authentifié peut exploiter ce défaut en envoyant une requête réseau spécialement formée vers un serveur Windows agissant comme contrôleur de domaine, déclenchant le débordement de pile et permettant l’exécution de code sur le système affecté (1)(2).

Microsoft a évalué l’exploitation comme Exploitation Less Likely, mais cette qualification est contestée par plusieurs analystes externes. Adam Barnett de Rapid7 souligne que toute personne se souvenant de CVE-2020-1472, alias ZeroLogon, notera que CVE-2026-41089 offre à un attaquant un contrôle plus immédiat d’un contrôleur de domaine que la vulnérabilité de 2020. Childs au ZDI qualifie la faille de wormable et résume : un contrôleur de domaine compromis est un domaine compromis. Aucun privilège ni interaction utilisateur ne sont requis. La complexité d’attaque est faible (4)(5)(7).

Les contrôleurs de domaine sont prioritaires dans la file de remédiation. Au-delà du patching, la restriction du trafic Netlogon au niveau réseau est recommandée. Les contrôleurs de domaine n’ont pas vocation à accepter du trafic Netlogon depuis des segments arbitraires.

CVE-2026-41096 : Windows DNS Client

CVE-2026-41096 est un débordement de tampon basé sur le tas dans le client DNS Windows. Le score CVSS 3.1 est également de 9.8, qualifié comme critique. Un attaquant peut exploiter cette vulnérabilité en envoyant une réponse DNS spécialement formée à un système Windows vulnérable, provoquant un traitement incorrect par le client DNS et une corruption mémoire. Dans certaines configurations, ceci peut permettre l’exécution de code à distance sans authentification (2)(8).

Les versions affectées incluent Windows 11, Windows Server 2022 et Windows Server 2025 (9). L’exploitation requiert soit une position de man-in-the-middle sur le trafic DNS, soit un serveur DNS malveillant. Cette condition opérationnelle limite l’exploitation aux scénarios où l’attaquant peut contrôler les réponses DNS reçues par la cible, mais la surface d’attaque reste considérable. Toute machine Windows acceptant une réponse DNS provenant d’un serveur potentiellement compromis ou d’un réseau non maîtrisé est exposée.

CVE-2026-42898 : Microsoft Dynamics 365 (on-premises)

CVE-2026-42898 est une vulnérabilité d’injection de code dans Microsoft Dynamics 365 on-premises. Le score CVSS 3.1 est de 9.9. Un attaquant authentifié à faible privilège peut exécuter du code au-delà de sa portée normale. La CVE est qualifiée de scope-change vulnerability, c’est-à-dire que l’exploitation modifie le périmètre de contrôle au-delà du périmètre initial du compte attaquant (2).

Cette caractéristique rend les tests de blast-radius particulièrement importants avant le déploiement, comme le souligne AP7i (4). Les organisations exploitant Dynamics 365 on-premises doivent valider le comportement post-patch dans un environnement de pré-production avant la mise en production, en raison du risque de régression fonctionnelle sur les permissions inter-tenants.

Quatre RCE critiques affectent Microsoft Office Word ce mois-ci. CVE-2026-40361, CVE-2026-40364, CVE-2026-40366 et CVE-2026-40367 reçoivent toutes un CVSS 3.1 de 8.4 et sont classées critiques par Microsoft. Les deux premières, CVE-2026-40361 (use-after-free dans wwlib.dll) et CVE-2026-40364 (type confusion), sont évaluées comme Exploitation More Likely, ce qui signifie que Microsoft anticipe l’apparition d’un PoC fonctionnel dans les trente jours (1)(2)(10).

L’élément structurant pour ces quatre vulnérabilités est commun : Microsoft confirme explicitement dans son advisory que le volet de lecture, le Reading Pane d’Outlook et le volet d’aperçu de Windows File Explorer, constitue un vecteur d’attaque pour chacune. L’exploitation ne nécessite pas l’ouverture du document. Le simple rendu d’un email malveillant dans le volet de lecture, ou le simple parcours d’un répertoire contenant un document piégé dans Explorer avec le volet d’aperçu activé, suffit à déclencher la corruption mémoire.

Cette classe d’attaque a été analysée en profondeur dans un article dédié sur ce blog concernant CVE-2026-40361 spécifiquement, du nom de son découvreur Haifei Li, fondateur du système EXPMON et déjà à l’origine de la découverte de BadWinmail en 2015. Les mitigations applicables incluent le déploiement immédiat du Patch Tuesday, l’activation du rendu en texte brut dans Outlook via GPO, la désactivation du volet de lecture sur les profils utilisateur à risque élevé, et l’activation des règles ASR Microsoft Defender for Endpoint qui bloquent la création de processus enfants par les applications Office (11).

CVE-2026-41103 : Microsoft SSO Plugin pour Jira et Confluence

CVE-2026-41103 est une élévation de privilèges critique affectant le plugin Microsoft Single-Sign-On pour Jira et Confluence. Le score CVSS 3.1 est de 9.1, l’évaluation Microsoft est Exploitation More Likely. Un attaquant non autorisé peut exploiter cette vulnérabilité durant le processus de connexion en envoyant un message de réponse spécialement formé. Une exploitation réussie permet à l’attaquant de se connecter en utilisant une identité forgée sans authentification Microsoft Entra ID, accédant ou modifiant des données dans Jira et Confluence selon les permissions de l’utilisateur usurpé (1)(7).

Adam Barnett de Rapid7 note un détail particulier dans l’advisory MSRC. Les liens de correctifs renvoient vers des versions du plugin publiées en 2024. Cette observation soulève une question opérationnelle : les organisations qui n’ont pas migré au-delà de ces versions de plugin pourraient se trouver dans une situation de remédiation difficile, soit parce que les versions correctives sont anciennes, soit parce que la chaîne de patching du plugin a divergé du calendrier MSRC (7).

Le périmètre opérationnel concerne toutes les organisations exploitant Atlassian Jira ou Confluence en mode self-hosted avec le plugin Microsoft SSO pour Entra ID. Les déploiements cloud Atlassian, qui utilisent des mécanismes d’authentification différents, ne sont pas concernés.

Deux RCE critiques visent des frontières d’isolation classiques et méritent une attention spécifique pour les environnements multi-tenants.

CVE-2026-40402 : Windows Hyper-V Guest-to-Host Escape

CVE-2026-40402 est une vulnérabilité use-after-free dans Windows Hyper-V. Le score CVSS 3.1 est de 9.3. Un attaquant disposant d’un accès dans une machine virtuelle invitée peut exploiter cette faille pour s’échapper vers l’environnement hôte et obtenir des privilèges SYSTEM sur l’hôte Hyper-V (2)(9).

L’exploitation, telle que documentée par IT-Connect, repose sur la lecture d’adresses mémoire arbitraires du noyau hôte depuis l’invité, généralement aboutissant à un crash de l’hôte (déni de service). Toutefois, en ciblant certains registres de périphériques matériels spécifiques, une évasion de l’environnement isolé (VM escape) avec acquisition des privilèges SYSTEM sur le système hôte devient possible (9).

Pour les environnements multi-tenants exécutant des workloads non maîtrisés (hébergeurs, fournisseurs de bureaux virtuels, environnements de test pour analystes malware, laboratoires DFIR), cette vulnérabilité doit être traitée comme prioritaire. La compromission de la frontière guest-to-host invalide les hypothèses d’isolation sur lesquelles repose la mutualisation de ressources.

CVE-2026-32161 : Windows Native WiFi Miniport Driver

CVE-2026-32161 est une vulnérabilité use-after-free combinée à une condition de course dans le driver Native WiFi Miniport de Windows. Un attaquant situé sur un réseau adjacent peut exécuter du code sur la cible en exploitant la race condition (8)(12).

La complexité d’attaque est qualifiée d’élevée, ce qui réduit la probabilité d’exploitation opportuniste. Néanmoins, les postes mobiles utilisant le Wi-Fi dans des environnements partagés (salles de conférence, espaces de coworking, salons professionnels, transports) restent dans le périmètre d’exposition. Pour les profils de risque élevé, la désactivation du Wi-Fi sur les machines lorsqu’une connexion câblée est disponible reste une mesure de durcissement pertinente.

Les élévations de privilèges représentent 48,3 % des vulnérabilités corrigées ce mois-ci, soit la classe dominante. Cette proportion reflète une tendance structurelle observable depuis plusieurs mois : l’EoP est devenue la marche post-compromission de référence dans la doctrine d’attaque moderne. Une exploitation initiale (phishing, vulnérabilité applicative exposée sur Internet) fournit un accès local non privilégié, qu’une chaîne d’EoP transforme ensuite en accès SYSTEM, puis en mouvement latéral.

Trois EoP du noyau Windows sont à signaler dans le rollup de mai. CVE-2026-33841, CVE-2026-35420 et CVE-2026-40369 reçoivent toutes un CVSS 3.1 de 7.8 et sont classées importantes. CVE-2026-33841 et CVE-2026-40369 sont évaluées Exploitation More Likely. Pour ces trois CVE, un attaquant local peut élever ses privilèges jusqu’à SYSTEM, ou jusqu’à un niveau d’intégrité Medium ou High dans le cas de CVE-2026-33841. Tenable note que ces trois vulnérabilités portent à treize le nombre d’EoP noyau Windows divulguées depuis le début 2026 (1).

D’autres EoP méritent une mention spécifique. CVE-2026-40397 affecte le driver Windows Common Log File System (CLFS). CLFS est une primitive d’escalade SYSTEM récurrente, exploitée à plusieurs reprises in-the-wild ces dernières années. Microsoft évalue CVE-2026-40397 comme Exploitation More Likely, ce qui place cette CVE en haut de la file pour les équipes qui suivent les patterns d’exploitation ransomware (12). CVE-2026-40398 affecte les Remote Desktop Services. CVE-2026-33837 cible la pile TCP/IP en local. CVE-2026-33840, CVE-2026-35417 et la série Win32k forment un groupe classique d’EoP graphics-stack.

CVE-2026-33835 : Windows Cloud Files Mini Filter Driver

CVE-2026-33835 affecte spécifiquement le driver cldflt.sys, le Windows Cloud Files Mini Filter Driver. La vulnérabilité est classée comme élévation de privilèges, marquée importante. Le composant est chargé par défaut sur l’ensemble des installations Windows modernes, indépendamment de la présence effective de OneDrive.

Ce patch s’inscrit dans une série continue. Quatre CVE majeures ont été publiées sur ce driver en 18 mois : CVE-2025-55680 en octobre 2025 (bypass TOCTOU de CVE-2020-17136 découvert par Exodus Intelligence en mars 2024), CVE-2025-62221 en décembre 2025 (use-after-free, 0-day exploité in-the-wild), et désormais CVE-2026-33835 dans le Patch Tuesday de mai 2026.

Au-delà de cldflt.sys, d’autres patches du rollup de mai s’inscrivent dans des familles de vulnérabilités à surveiller. CVE-2026-33837 sur TCP/IP fait partie d’une série continue de défauts dans la pile réseau. CVE-2026-35416 sur le driver Ancillary Function Driver for WinSock (AFD.sys) prolonge une série historique d’EoP exploitées par des opérateurs ransomware, notamment dans les chaînes Cuba et Conti. CVE-2026-40403 sur le composant Win32K GRFX fait l’objet d’une mention spécifique en section 6.

Un signal éditorial discret mais structurant émerge du rollup de mai. Adam Barnett de Rapid7 observe que la Microsoft WARP team est créditée pour plusieurs vulnérabilités critiques ce mois-ci, après une première apparition dans les acknowledgments MSRC du Patch Tuesday d’avril (7). L’identité exacte et le mandat de cette équipe ne font pas l’objet d’une communication détaillée par Microsoft, mais Barnett émet l’hypothèse que la WARP team dispose d’une expertise approfondie de l’état actuel de la recherche en vulnérabilités assistée par IA appliquée aux produits Microsoft.

Une seconde observation, rapportée par IT-Connect, vient confirmer cette lecture. CVE-2026-40403, une vulnérabilité du composant Win32K GRFX, est explicitement marquée comme partly discovered with the help of Claude dans les notes d’attribution (9). Il s’agit, à la connaissance de l’auteur, du premier crédit explicite à un assistant IA dans un advisory MSRC.

Cette mention rejoint un faisceau d’indices convergents sur l’industrialisation de la recherche en vulnérabilités assistée par IA au sein des grands éditeurs. Mozilla a publié le 12 mai 2026 une analyse documentant 271 vulnérabilités identifiées dans Firefox sur deux mois grâce à Anthropic Mythos, avec un taux de faux positifs présenté comme quasi nul. Du côté Linux, l’hypothèse Sysdig à propos de Dirty Frag suggère que la durée écoulée entre l’introduction des défauts en 2017 ou 2023 et leur découverte récente implique un appui d’outils d’analyse assistée par IA. La séquence Copy Fail, Dirty Frag, Fragnesia, ssh-keysign-pwn s’inscrit dans cette dynamique (14)(15).

Pour les équipes CTI, cette transition est structurante. La rareté de la découverte, hypothèse implicite qui sous-tend la doctrine de divulgation responsable depuis trente ans, est en train de céder. Simon Kelley du projet dnsmasq l’a énoncé publiquement le 11 mai 2026 dans son annonce de six CVE simultanées. Le Patch Tuesday de mai 2026, avec sa concentration inhabituelle de critiques sur des composants historiquement audités (Netlogon, DNS Client, Hyper-V), peut être lu comme un effet collatéral de la même dynamique côté éditeur.

Pour les équipes CERT, CSIRT, VOC et RSSI, la priorisation du Patch Tuesday de mai 2026 s’organise en quatre niveaux.

Premier niveau, immédiat sur les contrôleurs de domaine. CVE-2026-41089 sur Netlogon doit être déployée dans la même fenêtre de maintenance sur l’ensemble des DC d’une forêt. Comme le rappelle Jason Kikta, une forêt à moitié patchée face à un bug pré-authentifié sur DC n’est pas un état défendable. En complément, durcir le filtrage Netlogon au niveau réseau pour limiter l’acceptation du trafic Netlogon aux segments légitimes.

Deuxième niveau, prioritaire sur les flottes Windows endpoint et serveurs. CVE-2026-41096 sur le DNS Client concerne virtuellement toute machine Windows. Stage de déploiement large via les canaux WSUS, Intune ou SCCM. CVE-2026-40361, CVE-2026-40364, CVE-2026-40366 et CVE-2026-40367 sur Microsoft Word, à pousser en parallèle du cumulative OS. Activer le rendu en texte brut Outlook et les règles ASR Defender for Endpoint sur les populations à risque élevé en attendant la propagation complète du patch.

Troisième niveau, prioritaire sur les environnements virtualisés. CVE-2026-40402 sur Hyper-V doit être traitée comme un patch critique pour tout hôte Hyper-V hébergeant des invités non maîtrisés. CVE-2026-42898 sur Dynamics 365 on-premises nécessite une validation de blast-radius en pré-production avant déploiement, en raison du caractère scope-change de la vulnérabilité.

Quatrième niveau, important sur les flottes applicatives. CVE-2026-41103 sur le plugin SSO Jira et Confluence concerne les déploiements Atlassian self-hosted utilisant Entra ID. CVE-2026-33841 et CVE-2026-40369 sur le noyau Windows, à pousser via le cumulative OS. CVE-2026-33835 sur le Cloud Files Mini Filter Driver, en surveillant l’évolution de l’affaire MiniPlasma pour ajuster la posture si nécessaire.

Calendrier Secure Boot UEFI CA 2023

Au-delà du Patch Tuesday de mai, une échéance se rapproche pour les équipes opérant des flottes Windows. La transition vers le certificat Windows UEFI CA 2023, nécessaire pour la séquence de démarrage Secure Boot sur les futures mises à jour, intervient dans 45 jours environ à compter du 12 mai 2026, soit fin juin 2026. AP7i recommande de vérifier que le certificat est présent sur chaque appareil avant cette échéance (4).

Sans déploiement du certificat 2023, les systèmes Windows en domaine et certaines distributions Linux utilisant le chargeur Shim ne recevront plus de mises à jour de la séquence de démarrage. Cette migration, planifiée de longue date par Microsoft suite à l’expiration programmée du PCA 2011, mérite une attention particulière sur les flottes de portables et de bureaux d’utilisateurs dont la couverture de mise à jour BIOS peut être inégale.

Anticipation Patch Tuesday de juin 2026

Le Patch Tuesday du 10 juin 2026 fera probablement l’objet d’une attention particulière pour plusieurs raisons convergentes. Le chercheur Chaotic Eclipse a annoncé une nouvelle divulgation publique pour cette date. La publication MiniPlasma du 15 mai 2026 attend un correctif, attendu pour juin si Microsoft confirme la vulnérabilité. CVE-2026-31431 (Copy Fail), inscrite au catalogue KEV de la CISA avec échéance fédérale au 15 mai, continuera d’attirer l’attention. Le calendrier de remédiation des CVE 9.8 critiques de mai (Netlogon, DNS Client, Dynamics 365) s’étendra typiquement sur quatre à six semaines, recouvrant le Patch Tuesday suivant. Les équipes CERT devraient anticiper une fenêtre de maintenance dense sur juin 2026.

Une accalmie statistique ne signifie pas une accalmie opérationnelle. Le Patch Tuesday de mai 2026, en l’absence apparente de zero-day, reste l’un des mois les plus chargés en RCE non authentifiées critiques de l’année. Pour les défenseurs, l’absence de compteur d’exploitation sur une CVE spécifique offre une fenêtre rare pour patcher sans pression d’incident, à condition de mobiliser cette fenêtre. Comme le résume AP7i, les trois CVSS 9.8 et plus de ce mois méritent la même urgence que si l’une d’elles était déjà exploitée.