En bref

  • CVE-2026-42898 : injection de code (CWE-94) dans Microsoft Dynamics 365 on-premises permettant à tout utilisateur authentifié d'exécuter du code à distance avec changement de portée (scope change).
  • CVSS 3.1 score 9.9 ; affecte les déploiements Dynamics 365 / Dynamics CRM on-prem dans leurs versions supportées (Dynamics 365 Customer Engagement 9.x on-prem) avant le KB de mai 2026.
  • Action urgente : appliquer le Patch Tuesday du 13 mai 2026 sur toutes les instances Dynamics CRM hébergées en interne, segmenter l'accès des utilisateurs métier non-administrateurs, et auditer les modifications d'état de session récentes.

Les faits

Microsoft a publié le 13 mai 2026, dans le cadre de son Patch Tuesday mensuel, un correctif pour la vulnérabilité CVE-2026-42898 affectant les déploiements on-premises de Microsoft Dynamics 365 (anciennement Dynamics CRM). La faille est documentée dans le Microsoft Security Update Guide et a été reprise par BleepingComputer, The Register, Cybersecurity News, et le Talos Intelligence Group de Cisco dans leur synthèse Patch Tuesday. Le score CVSS 3.1 attribué est de 9.9 (vecteur AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) – un niveau extrêmement élevé en raison du caractère réseau, de la faible complexité, du besoin minimal de privilèges et du changement de portée (S:C).

La classification de l'attaque relève de la catégorie CWE-94 : Improper Control of Generation of Code ('Code Injection'). Concrètement, un attaquant authentifié sur l'instance Dynamics CRM, même avec un simple compte utilisateur métier, est capable de modifier l'état sauvegardé d'une session de processus puis de déclencher la reprise du flux par le moteur. Lors de la désérialisation/exécution de cet état modifié, le serveur Dynamics CRM exécute le code injecté avec les privilèges du compte de service applicatif (NT SERVICE\MSCRMAppPool ou un compte AD dédié), généralement disposant de droits élevés sur la base de données SQL Server backend et sur le système de fichiers du serveur applicatif.

La chronologie de la divulgation indique que la faille a été remontée à Microsoft par un chercheur anonyme du Trend Micro Zero Day Initiative au cours du quatrième trimestre 2025. Microsoft a procédé à une revue de code approfondie du moteur de workflow Dynamics avant de publier le correctif à mai 2026, sous embargo de divulgation coordonnée. Aucune exploitation in-the-wild n'est confirmée à la date de publication, et Microsoft classe la vulnérabilité en « Exploitation Less Likely » – mais cette classification n'empêche pas que le caractère trivial de l'exploitation post-authentification rende la fenêtre de remediation critique pour les déploiements exposés à un grand nombre d'utilisateurs internes.

D'un point de vue technique, le bug se situe dans le composant de gestion d'état de processus business (Business Process Flow, BPF) de Dynamics CRM. Chaque BPF maintient un objet sérialisé représentant l'état courant du processus (étape active, données contextuelles, callbacks). Lorsqu'un utilisateur passe d'une étape à la suivante, le moteur désérialise cet objet, applique les transitions, et le ré-enregistre. La désérialisation ne valide pas suffisamment les types ; un attaquant peut injecter dans le champ « process state » un payload .NET sérialisé pointant vers une chaîne de gadgets (TypeConfuseDelegate ou similaire) qui exécute du code lors du processus de désérialisation – pattern classique de vulnérabilité .NET BinaryFormatter/SoapFormatter.

Le caractère « scope change » (S:C dans le vecteur CVSS) est particulièrement critique. Il signifie que l'exploitation peut affecter des composants au-delà de l'instance Dynamics CRM elle-même. Dans un déploiement on-prem typique, l'instance Dynamics 365 est intégrée à un domaine Active Directory, communique avec SQL Server (souvent en mode Kerberos délégué), et héberge des intégrations vers SharePoint, Exchange et des connecteurs Azure. Une RCE sur le serveur Dynamics se traduit donc par un point pivot privilégié vers le SI complet, y compris l'AD si la délégation Kerberos non contrainte est active – configuration encore très répandue dans les déploiements anciens.

Aucun PoC public n'est diffusé à ce jour. Toutefois, plusieurs chercheurs en sécurité (notamment Codewhite GmbH et Code White) ont déjà publié dans le passé des chaînes de désérialisation .NET réutilisables (ysoserial.net, TypeConfuseDelegate) qui pourraient être adaptées rapidement par tout attaquant disposant d'un accès authentifié, même de niveau utilisateur basique. Le Zero Day Initiative, dans son analyse du 12 mai 2026, signale que la barrière technique pour weaponiser la faille est faible et estime qu'un exploit fonctionnel sera disponible publiquement sous 30 jours.

Le périmètre des produits affectés couvre les déploiements on-premises de Dynamics 365 Customer Engagement version 9.0 et 9.1, ainsi que Microsoft Dynamics CRM 2016 et 2015 lorsque ces derniers sont encore en support étendu (cas fréquent dans les organisations publiques et industrielles). Les déploiements SaaS Dynamics 365 Online ne sont pas affectés : Microsoft a déployé le correctif sur ses tenants cloud avant la divulgation publique. Le correctif on-prem est livré sous la forme d'un Service Update cumulatif disponible depuis le centre de téléchargement Microsoft, référencé dans l'advisory Microsoft Security Update Guide CVE-2026-42898 ; aucun changement de schéma base de données n'est requis, ce qui simplifie le déploiement.

Le contexte du Patch Tuesday de mai 2026 amplifie la criticité : Microsoft a publié 137 correctifs au total, dont 17 critiques, sans aucun zero-day exploité in-the-wild – ce qui constitue, selon BleepingComputer, le premier mois sans zero-day depuis juin 2024. CVE-2026-42898 figure en tête des recommandations de priorisation aux côtés de CVE-2026-41089 (Netlogon RCE) et CVE-2026-41096 (Windows DNS Client RCE), tous deux à CVSS 9.8. Le CERT-FR a relayé ces priorités dans son bulletin CERTFR-2026-AVI-0540 émis le 13 mai 2026.

Impact et exposition

L'exposition est concentrée mais critique. Les déploiements on-prem de Dynamics 365 demeurent majoritairement présents dans les grandes entreprises industrielles, le secteur public, la défense et les organisations soumises à des contraintes de souveraineté des données. Pour ces entités, Dynamics 365 héberge des données CRM stratégiques : prospects commerciaux, contrats, données clients à forte valeur. Une compromission RCE permet l'exfiltration massive de ces données ainsi que la manipulation de workflows métier (génération de fausses factures, modification d'offres commerciales).

Les conditions d'exploitation sont triviales pour qui possède un compte authentifié. Or les déploiements Dynamics ont fréquemment plusieurs centaines voire milliers d'utilisateurs internes, dont une proportion non négligeable de comptes utilisateurs métier peu surveillés, anciens collaborateurs non désactivés, ou comptes de service mal protégés. Chaque compte authentifié représente potentiellement une porte d'entrée RCE.

L'exploitation active n'est pas confirmée, mais la disponibilité prochaine d'exploits publics, combinée à la trivialité d'adaptation pour un attaquant disposant déjà d'un foothold initial (phishing, credential stuffing), fait de cette vulnérabilité une cible privilégiée pour les opérations de ransomware ciblées – Akira, BlackCat, LockBit ayant déjà historiquement ciblé des instances Dynamics CRM dans le passé.

La surface d'attaque est aggravée par le scope change CVSS. Un attaquant exploitant la faille obtient typiquement un pivot vers l'Active Directory, le serveur SQL, les partages SharePoint et le serveur Exchange si la délégation Kerberos est configurée. Une simple RCE sur Dynamics peut donc se transformer en compromission de domaine complète en quelques heures, surtout dans les environnements où les comptes de service applicatifs sont membres de groupes privilégiés.

Recommandations immédiates

  • Appliquer le Service Update Dynamics 365 de mai 2026 (advisory Microsoft Security Update Guide CVE-2026-42898) sur l'ensemble des instances Dynamics CRM / Dynamics 365 on-prem dans les 72 heures.
  • En attendant le patch : restreindre l'accès au portail Dynamics via authentification multifacteur stricte, supprimer les comptes utilisateurs dormants et désactiver les Business Process Flows non utilisés.
  • Auditer les modifications récentes d'état de session via les tables ProcessSessionBase et ProcessStageBase de la base CRM ; toute modification anormale par des comptes utilisateur basiques constitue un IoC à investiguer.
  • Réviser la configuration de délégation Kerberos du compte de service Dynamics : passer en délégation contrainte (Constrained Delegation) ou Resource-Based Constrained Delegation pour limiter le scope change en cas de compromission.
  • Indicateurs de compromission : surveiller la création de processus enfants anormaux (cmd.exe, powershell.exe, w3wp.exe lançant des binaires non signés) par le pool d'application MSCRMAppPool ; corréler avec les événements d'accès Dynamics dans les logs IIS.

⚠️ Urgence

Score CVSS 9.9 et exploitation triviale dès qu'un compte authentifié est compromis. Les environnements on-prem Dynamics 365 demeurent fréquemment intégrés à l'Active Directory avec des privilèges élevés. Le risque de transformation d'une RCE locale en compromission de domaine complète est extrêmement élevé.

Comment savoir si je suis vulnérable ?

Connectez-vous au Deployment Manager Dynamics et identifiez la version : tout déploiement on-prem Dynamics 365 Customer Engagement 9.0/9.1 ou Dynamics CRM 2015/2016 antérieur au Service Update de mai 2026 est vulnérable. Vérifier également la version du fichier Microsoft.Crm.dll dans le répertoire d'installation (CRMWeb\bin) : les versions antérieures à 9.1.x.xxxx (build du 13 mai 2026) sont à patcher. Microsoft Defender Vulnerability Management et Tenable Nessus disposent de plugins de détection publiés le 13 mai 2026.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit