CVE-2026-35435 : Azure AI Foundry M365 exploitee (CVSS 8.6)

Les faits

Microsoft a divulgue le 7 mai 2026 une vulnerabilite critique affectant Azure AI Foundry, sa plateforme cloud dediee au developpement et au deploiement d'agents d'intelligence artificielle. Identifiee sous la reference CVE-2026-35435 et notee CVSS 8.6 (Eleve) avec le vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N, la faille permet a un attaquant distant et non authentifie d'elever ses privileges via les agents Microsoft 365 publies dans la plateforme. Microsoft a confirme dans son advisory que la vulnerabilite etait deja activement exploitee dans la nature au moment de la divulgation publique, classant CVE-2026-35435 comme un zero-day exploite avant divulgation.

Sur le plan technique, CVE-2026-35435 est categorisee sous CWE-284 : Improper Access Control. Le mecanisme de controle d'acces regissant l'authentification et l'autorisation des agents publies dans Azure AI Foundry ne valide pas correctement l'identite et les droits du demandeur lors de certaines interactions avec les endpoints exposes des agents M365. La faille reside dans la logique de verification d'autorisation de ces endpoints : un attaquant peut contourner les controles normalement requis pour interagir avec un agent publie, et via cette interaction non autorisee, elever ses privileges au sein de l'ecosysteme Azure AI Foundry et Microsoft 365.

L'analyse du vecteur CVSS revele plusieurs caracteristiques alarmantes. Le parametre AV:N (Attack Vector: Network) indique que l'exploitation est entierement distante, sans necessite d'acces physique. L'AC:L (Attack Complexity: Low) confirme qu'aucune condition prealable complexe n'est necessaire. Le parametre PR:N (Privileges Required: None) est le plus preoccupant : l'attaquant ne necessite aucune authentification prealable dans l'environnement cible. L'UI:N (User Interaction: None) signifie qu'aucune action d'un utilisateur legitime n'est requise pour declencher l'exploit. Enfin, le S:C (Scope Changed) indique que l'impact depasse le composant initial pour potentiellement atteindre des ressources adjacentes dans l'environnement Microsoft 365 auxquelles l'agent a acces. L'impact sur la confidentialite est note C:H (High), refletant un risque significatif d'exfiltration de donnees.

La temporalite de cette divulgation est particulierement preoccupante. CVE-2026-35435 a ete devoilee le 7 mai 2026 avec la confirmation explicite par Microsoft que des acteurs malveillants avaient commence a l'exploiter avant meme la divulgation publique — un scenario caracteristique des zero-days exploites par des acteurs offensifs. Simultanement a la divulgation, Microsoft a deploye un correctif directement dans son infrastructure Azure, remediating la vulnerabilite de maniere transparente sans necessiter d'action de la part des clients. Cette approche est specifique aux services SaaS/PaaS en cloud : le fournisseur peut patcher unilateralement l'infrastructure partagee. Cependant, cette caracteristique ne doit pas occulter le risque reel : si des attaquants ont exploite CVE-2026-35435 avant le 7 mai 2026, des organisations pourraient avoir ete compromises sans en avoir conscience.

Azure AI Foundry est une plateforme en croissance rapide permettant aux entreprises de creer des agents conversationnels, d'automatiser des workflows metiers, et d'integrer des capacites d'IA generative dans leurs applications Microsoft 365 (Teams, SharePoint, Exchange, Outlook). Ces agents publies disposent souvent de permissions etendues : lecture de documents SharePoint, acces aux emails Exchange, interaction avec des APIs metiers internes. La convergence entre IA generative et infrastructure d'entreprise cree de nouvelles surfaces d'attaque que les equipes de securite n'ont pas encore completement integrees dans leurs modeles de menaces. CVE-2026-35435 illustre precisement ce risque emergent des plateformes d'agents IA.

Bien que la nature precise des exploitations observees dans la nature n'ait pas ete detaillee dans l'advisory initial de Microsoft, plusieurs scenarios sont plausibles au regard du vecteur CVSS. Un attaquant pourrait avoir interagi de maniere non autorisee avec des agents M365 publies pour exfiltrer des donnees accessibles par ces agents : documents SharePoint confidentiels, emails Exchange, donnees de calendrier, informations extraites de connecteurs metiers. Dans les organisations ayant deploye des agents avec des permissions larges (acces tenant-wide a SharePoint), le risque d'exfiltration de donnees sensibles a grande echelle est reel et significatif.

Il est important de souligner que l'impact mesure par le CVSS est limite a la confidentialite (I:N/A:N — pas d'impact sur l'integrite ni la disponibilite). La menace principale est donc l'exfiltration et la divulgation d'informations sensibles sans autorisation. Dans le contexte reglementaire europeen (RGPD, NIS2), une telle exfiltration pourrait entrainer des obligations de notification aupres de la CNIL et des autorites competentes dans les 72 heures suivant la decouverte d'une violation de donnees potentielle.

CVE-2026-35435 s'inscrit dans une tendance preoccupante observee depuis l'emergence des plateformes d'agents IA en entreprise : les agents IA representent de nouvelles cibles a haute valeur pour les attaquants, par leur nature d'intermediaires disposant d'acces etendus aux donnees et aux systemes. D'autres plateformes d'agents IA ont connu des vulnerabilites similaires en 2026, confirmant que la securite des agents IA est un domaine critique encore en cours de maturation, tant du cote des editeurs que des equipes securite des entreprises. Les bonnes pratiques — principe du moindre privilege, audit regulier des permissions, journalisation des acces — doivent faire partie integrante de tout deploiement Azure AI Foundry.

Selon les analystes de RedPacket Security et OffSeq, qui ont suivi l'advisory CVE-2026-35435 en temps reel, la publication de la vulnerabilite a genere une activite de reconnaissance significative sur les endpoints Azure AI Foundry dans les heures suivant la divulgation, confirming l'interet des acteurs malveillants pour ce type de cibles cloud IA. La rapidite de l'exploitation initiale souligne l'importance critique de surveiller proactivement les logs d'acces aux agents AI, meme pour des services SaaS patche par le fournisseur.

Impact et exposition

CVE-2026-35435 affecte potentiellement toute organisation utilisant Azure AI Foundry pour publier des agents Microsoft 365. Microsoft M365 est deploye dans plus d'un million d'organisations a travers le monde. Les secteurs les plus exposes sont ceux qui ont rapidement adopte les technologies IA pour automatiser leurs processus metiers : services financiers, cabinets de conseil et d'avocats, entreprises de sante, administrations publiques, et grandes entreprises technologiques ayant deploye des agents IA dans leur environnement M365.

La condition d'exploitation est minimale : tout acteur disposant d'un acces reseau a l'endpoint de l'agent publie peut tenter l'exploitation, sans authentification prealable. Les agents publies peuvent etre exposes sur Internet ou sur un reseau interne etendu. Cette condition, combinee a la simplicite de l'attaque (AC:L) et a l'absence de privileges requis (PR:N), en fait une cible de choix pour les acteurs malveillants cherchant a acceder a des donnees d'entreprise sensibles sans acces initial complexe.

La confirmation d'exploitation active avant le 7 mai 2026 signifie que certaines organisations pourraient avoir ete victimes d'exfiltration de donnees sans en avoir conscience. Pour les organisations ayant deploye des agents avec acces a des donnees personnelles ou confidentielles, une evaluation forensique retrospective des logs est necessaire pour determiner si une violation de donnees a eu lieu, et le cas echeant, declencher les procedures reglementaires appropriees (notification CNIL sous 72h, RGPD Article 33).

Recommandations immediates

• Auditer les logs d'acces Azure AI Foundry pour la periode anterieure au 7 mai 2026 : portail Azure — AI Foundry — onglet Monitoring — Logs — rechercher des appels non authentifies ou de sources IP inhabituelles vers les agents publies
• Inventorier tous les agents M365 publies dans votre tenant : portail Azure — Azure AI Foundry — Agents — filtrer par statut Published ou Deployed
• Revoir les permissions accordees a chaque agent publie : appliquer strictement le principe du moindre privilege — un agent d'assistance SharePoint n'a pas besoin d'acceder a Exchange ou a l'ensemble du tenant
• Activer les alertes Azure Monitor et Microsoft Defender for Cloud pour toute activite anormale sur les ressources AI Foundry
• Si des donnees sensibles ou personnelles etaient accessibles par des agents publies avant le 7 mai 2026 et qu'une exploitation est suspectee, declencher la procedure de notification RGPD (Article 33 : notification CNIL dans les 72h) et la procedure NIS2 applicable
• Reference : Microsoft Security Advisory CVE-2026-35435 (advisory hors-cycle mai 2026)