CVE-2026-33824 : RCE critique Windows IKE Service (9.8)

Les faits

Microsoft a corrigé lors du Patch Tuesday d'avril 2026 une vulnérabilité critique dans le service Internet Key Exchange (IKE), composant fondamental des communications VPN et IPSec sous Windows. Référencée CVE-2026-33824 avec un score CVSS de 9.8, cette faille de type double free permet à un attaquant non authentifié d'exécuter du code arbitraire à distance en envoyant des paquets UDP spécialement conçus sur les ports 500 et 4500. La vulnérabilité a été signalée à Microsoft par des chercheurs de Tenable et confirmée par le Zero Day Initiative. Bien qu'aucune exploitation active n'ait été confirmée au moment de la publication, Microsoft évalue la probabilité d'exploitation comme élevée en raison de la faible complexité de l'attaque. Le CERT-FR a publié un avis (CERTFR-2026-AVI-0428) recommandant l'application immédiate des correctifs. L'ensemble des versions supportées de Windows est concerné, ce qui représente une surface d'attaque considérable dans les environnements d'entreprise où IKEv2 est largement déployé pour les tunnels VPN site-à-site et les accès distants.

Impact et exposition

Toute machine Windows exposant les ports UDP 500 ou 4500 sur le réseau est potentiellement vulnérable. Cela inclut les serveurs VPN, les passerelles RRAS (Routing and Remote Access Service) et les postes clients configurés en mode IKEv2. L'exploitation ne nécessite ni authentification ni interaction utilisateur, ce qui la rend particulièrement dangereuse dans les environnements où ces ports sont accessibles depuis Internet. Un attaquant exploitant cette faille obtiendrait une exécution de code avec les privilèges SYSTEM, permettant une compromission totale du système cible. Les organisations utilisant des VPN IPSec natifs Windows sont les plus exposées. Cette vulnérabilité rappelle les failles critiques précédentes dans les composants réseau Windows, comme la CVE-2025-60710 dans Windows Host Process ou les attaques BlueHammer contre Windows Defender, qui ont démontré l'intérêt des attaquants pour les services réseau exposés de l'écosystème Microsoft.

Recommandations immédiates

• Appliquer immédiatement la mise à jour cumulative d'avril 2026 via Windows Update, WSUS ou le Microsoft Update Catalog — advisory Microsoft Security Response Center avril 2026
• Pour les systèmes ne pouvant être patchés immédiatement : bloquer le trafic entrant sur les ports UDP 500 et 4500 si IKE n'est pas utilisé
• Pour les systèmes nécessitant IKE : restreindre le trafic entrant sur ces ports aux seules adresses IP des pairs VPN connus via des règles de pare-feu
• Auditer les serveurs Windows exposant ces ports sur Internet à l'aide d'un scan réseau ciblé
• Surveiller les journaux système pour détecter des crashs inhabituels du service IKE (svchost.exe hébergeant IKEEXT)