En bref

  • CVE-2026-33827, score CVSS 9.8, est une race condition dans la pile TCP/IP Windows déclenchée lors du réassemblage de fragments IPv6 quand IPSec est actif.
  • Toutes les éditions supportées de Windows 10, 11 et Server (de Server 2012 à Server 2025) sont concernées dès lors qu'IPv6 est activé, ce qui est le cas par défaut.
  • Aucun PoC public au 1er mai mais le caractère wormable et non-authentifié justifie un déploiement immédiat du Patch Tuesday d'avril.

Les faits

Microsoft a divulgué CVE-2026-33827 lors de son Patch Tuesday du 14 avril 2026, dans un bulletin couvrant 167 vulnérabilités dont 2 zéro-days confirmés. La faille touche le pilote tcpip.sys, le composant noyau qui orchestre la pile TCP/IP Windows. Le Zero Day Initiative et l'équipe de Cisco Talos ont publié des analyses techniques détaillées peu après la divulgation, classant cette vulnérabilité parmi les plus critiques du mois aux côtés de CVE-2026-32202.

Techniquement, il s'agit d'une race condition (CWE-362) entre deux threads kernel qui interviennent dans le traitement des paquets IPv6 fragmentés lorsque IPSec est activé. Le premier thread vérifie la signature IPSec du fragment ; le second gère le buffer de réassemblage. L'absence de synchronisation correcte entre ces deux opérations crée une fenêtre temporelle pendant laquelle un use-after-free ou un double-free peut être déclenché en mémoire kernel. Un attaquant qui parvient à gagner cette course peut injecter une charge utile exécutée avec les privilèges SYSTEM.

Le scénario d'exploitation ne requiert ni authentification ni interaction utilisateur. Un attaquant non-authentifié sur le même segment réseau (LAN) ou capable d'envoyer des paquets IPv6 routables vers la cible peut déclencher la vulnérabilité en envoyant une rafale de fragments IPv6 malformés calculés pour déclencher la race condition. Le score CVSS 9.8 reflète cette combinaison létale : vecteur réseau, complexité d'attaque faible (au sens CVSS), aucune interaction, impact total sur la confidentialité, l'intégrité et la disponibilité.

Microsoft qualifie l'exploitation de « moins probable » dans son Exploitability Index, en raison de la difficulté de gagner de manière fiable la race condition à distance. C'est cohérent avec l'absence de PoC public au 1er mai 2026. Mais l'histoire des vulnérabilités IPv6 wormables (CVE-2020-16898, CVE-2021-24086, CVE-2022-34718) montre que les chercheurs offensifs publient des exploits stables dans les semaines qui suivent, et que les groupes ransomware industrialisent l'exploitation dans les 60 jours.

Le caractère wormable est central. Le terme désigne une vulnérabilité qui peut être exploitée pour qu'un code malveillant se propage de machine en machine sans intervention humaine, comme l'ont fait WannaCry (MS17-010) et NotPetya en 2017. Ici, n'importe quel hôte Windows compromis avec IPv6 + IPSec peut potentiellement scanner son sous-réseau et infecter automatiquement les voisins vulnérables. Dans une infrastructure plate, sans micro-segmentation, c'est la garantie d'une compromission totale en quelques heures.

L'enjeu géopolitique n'est pas neutre. Plusieurs sources de threat intelligence (Mandiant, Sekoia, Recorded Future) suivent depuis février 2026 des achats massifs de zéro-days IPv6 par des courtiers liés à la Chine. CVE-2026-33827 a été divulguée sans crédit attribué, ce qui suggère soit une découverte interne par Microsoft, soit une remontée par un partenaire confidentiel — un schéma similaire aux divulgations sensibles de zéro-days pré-exploités.

Impact et exposition

Sont vulnérables : Windows 10 versions 1607, 1809, 21H2, 22H2 ; Windows 11 versions 22H3, 23H2, 24H2, 25H2, 26H1 ; Windows Server 2012, 2012 R2, 2016, 2019, 2022, 2025 et 23H2. Les conditions d'exposition sont la double activation d'IPv6 (par défaut sur tout Windows depuis Vista) et d'IPSec. Cette dernière n'est pas activée par défaut mais elle est largement utilisée dans les déploiements Active Directory pour les liaisons site-à-site, dans Microsoft Always On VPN, et dans les configurations de domain isolation recommandées par Microsoft.

Les serveurs exposés sur Internet avec IPv6 routable sont à risque maximal : pare-feu périmétriques, hôtes Edge, contrôleurs de domaine en DMZ, serveurs DirectAccess. À l'intérieur du réseau, tout poste utilisateur ou serveur d'application est exploitable depuis n'importe quelle machine compromise sur le même VLAN ou en route IPv6 ouverte.

Recommandations

  • Déployer le KB d'avril 2026 (KB5036893 client, KB5036899 server et équivalents par version) sur l'intégralité du parc Windows dans les 7 jours.
  • Si le déploiement immédiat est impossible : restreindre le trafic IPv6 entrant aux seules sources de confiance via la stratégie de pare-feu Windows ou les ACL des équipements réseau.
  • Désactiver IPSec sur les hôtes qui n'en ont pas besoin opérationnel. Sur les serveurs où il reste actif, restreindre les peers IPSec autorisés via stratégie IPSec native.
  • Activer la microsegmentation réseau (VLAN par fonction, ACL inter-VLAN strictes) pour limiter la propagation latérale en cas d'exploitation wormable.
  • Mettre en place une supervision IDS/NDR sur les anomalies IPv6 : volumes inhabituels de fragments, fragments avec offset incohérent, ESP malformés. Suricata et Zeek disposent de signatures dédiées depuis le 18 avril.

Alerte critique

Si vos contrôleurs de domaine ou vos serveurs Always On VPN n'ont pas reçu le Patch Tuesday d'avril 2026, ils représentent une cible parfaite pour la première souche ransomware exploitant CVE-2026-33827. Considérez ce patch comme prioritaire absolu, à un niveau comparable à MS17-010 en 2017.

Désactiver IPv6 globalement règle-t-il le problème ?

Oui techniquement, mais Microsoft déconseille fortement la désactivation complète d'IPv6 sur Windows : certains composants (IPC inter-processus, services Cluster, DirectAccess) supposent IPv6 actif. La désactivation peut casser des fonctionnalités de manière silencieuse. La bonne approche est patch + filtrage IPv6 entrant, pas désactivation.

Comment savoir si IPSec est activé sur mes serveurs ?

En PowerShell : Get-NetIPsecRule -PolicyStore PersistentStore retourne les règles IPSec actives. Si la sortie est vide, IPSec local n'est pas configuré. Vérifiez aussi Get-Service IKEEXT et la présence de stratégies de groupe IPSec poussées par GPO. Les hôtes en domain isolation (recommandation Microsoft Pass-the-Hash mitigation) ont presque toujours IPSec actif.

Votre parc Windows est-il à jour des correctifs critiques ?

Ayi NEDJIMI accompagne les RSSI sur les campagnes de patch d'urgence et la priorisation des vulnérabilités exploitables. Audit de couverture WSUS/SCCM, scan de vulnérabilités, plan de remédiation chiffré.

Demander un diagnostic patch