En bref

  • CVE-2026-44815 : débordement de pile (stack-based buffer overflow, CWE-121) dans le service DHCP Client Windows, score CVSS v3.1 de 9.8 Critique
  • Systèmes affectés : Windows 10, Windows 11 (toutes éditions y compris 24H2), Windows Server 2016, 2019, 2022 et 2025 — toutes versions antérieures au Patch Tuesday juin 2026
  • Action urgente : appliquer immédiatement la mise à jour cumulative de juin 2026 via Windows Update, WSUS ou Microsoft Endpoint Configuration Manager

Les faits

CVE-2026-44815 est une vulnérabilité critique de type stack-based buffer overflow (CWE-121) affectant le service DHCP Client de Windows, divulguée par Microsoft lors du Patch Tuesday du 9 juin 2026. Avec un score CVSS v3.1 de 9.8 (Critique), cette faille permet à un attaquant non authentifié d'exécuter du code arbitraire sur un système vulnérable via le réseau, sans nécessiter la moindre interaction de l'utilisateur. Elle figure parmi les cinq vulnérabilités les plus critiques du Patch Tuesday juin 2026, qui a établi un record historique avec 208 CVE corrigés en un seul cycle, dont 33 flaws critiques et 55 RCE supplémentaires selon Infosecurity Magazine.

La faille réside dans le traitement des paquets DHCP par le service client Windows. Le protocole DHCP (Dynamic Host Configuration Protocol) est un mécanisme fondamental dans tout réseau TCP/IP : il permet aux systèmes d'obtenir automatiquement une adresse IP, un masque de sous-réseau, une passerelle par défaut et des serveurs DNS dès leur connexion au réseau. Le service DHCP Client (dhcpcsvc.dll) tourne en arrière-plan sur la quasi-totalité des systèmes Windows, qu'ils soient postes de travail ou serveurs, rendant la surface d'attaque considérable et uniforme sur l'ensemble du parc Windows mondial.

Le vecteur CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) décrit une exploitation réseau, à faible complexité, sans privilèges requis et sans interaction utilisateur. Concrètement, un attaquant positionné sur le même segment réseau peut déployer un serveur DHCP malveillant et répondre aux requêtes DHCPDISCOVER ou DHCPREQUEST des clients vulnérables. La réponse forgée contient un champ Option de longueur anormalement grande, provoquant un débordement de la pile mémoire du service dhcpcsvc.dll. Ce débordement écrase des données sur la pile, notamment des adresses de retour, permettant à l'attaquant de contrôler le flux d'exécution et d'exécuter du code arbitraire dans le contexte du service, qui dispose de privilèges élevés sur le système Windows.

L'analyse technique publiée par Cisco Talos dans son article de revue du Patch Tuesday juin 2026 (avec les règles Snort correspondantes) précise que « an attacker can exploit this by setting up a DHCP Server on the network and responding to a request, with the flaw occurring when a crafted DHCP packet is processed, causing a stack overflow ». La Zero Day Initiative (ZDI) a également documenté CVE-2026-44815 dans son Security Update Review de juin 2026, la classant parmi les vulnérabilités prioritaires aux côtés de CVE-2026-45657 (Kernel RCE) et CVE-2026-47291 (HTTP.sys RCE). L'advisory officiel Microsoft Security Response Center (MSRC) pour CVE-2026-44815 confirme ces éléments et indique qu'aucune exploitation active n'avait été détectée au moment de la publication.

Les versions affectées couvrent l'intégralité du parc Windows actuellement supporté par Microsoft : Windows 10 (toutes éditions, 21H2 à 22H2), Windows 11 (toutes éditions de 21H2 à 24H2), Windows Server 2016, Windows Server 2019, Windows Server 2022 et Windows Server 2025. Les systèmes utilisant des adresses IP statiques sont techniquement affectés si le service DHCP Client reste actif, même s'ils ne sollicitent pas activement un serveur DHCP — le service écoute tout de même des messages DHCP en broadcast sur le réseau. Selon Tenable, aucun exploit public (PoC) n'était connu au 10 juin 2026, mais la faible complexité d'exploitation laisse craindre une weaponization dans les semaines suivant la publication du patch.

Le caractère potentiellement wormable de CVE-2026-44815 mérite une attention particulière. Un attaquant ayant compromis un premier système Windows via d'autres moyens pourrait y déployer un serveur DHCP rogue et propager l'exploitation à l'ensemble du segment réseau local, en attendant les requêtes de renouvellement de bail DHCP des autres hôtes. Ce scénario de propagation latérale automatisée rappelle le mode de propagation d'EternalBlue (CVE-2017-0144) via SMB en 2017, qui avait alimenté WannaCry et NotPetya. Selon l'analyse de Mondoo Vulnerability Intelligence, la criticité de cette vulnérabilité est maximisée dans les environnements où le DHCP snooping n'est pas activé sur les commutateurs réseau, laissant la porte ouverte à l'usurpation de serveur DHCP.

Sur le plan de la chronologie de divulgation, la vulnérabilité a été identifiée et signalée à Microsoft par un chercheur externe dans le cadre du programme de divulgation responsable (Coordinated Vulnerability Disclosure). Microsoft a intégré le correctif dans le cycle mensuel Patch Tuesday de juin 2026, publié le 9 juin 2026. Aucune divulgation anticipée ni exploitation préalable au patch n'a été confirmée, ce qui distingue CVE-2026-44815 des zero-days concurrents divulgués le même mois. Le correctif est distribué via la mise à jour cumulative mensuelle pour chaque version de Windows, accessible par Windows Update, WSUS ou le Microsoft Update Catalog.

Rapid7 et Tenable ont tous deux classé CVE-2026-44815 en priorité de patching immédiat dans leurs analyses respectives du Patch Tuesday juin 2026, soulignant que la combinaison d'une surface d'attaque universelle et d'une complexité d'exploitation minimale en fait une cible de choix pour les groupes cybercriminels dans les semaines à venir.

Impact et exposition

L'exposition est quasi universelle dans les environnements Windows. Le service DHCP Client est activé par défaut sur l'ensemble des installations Windows depuis Windows XP, qu'il s'agisse d'un poste de travail en entreprise, d'un serveur dans un datacenter, d'un système SCADA industriel ou d'un kiosk retail. Dans les environnements Active Directory où DHCP est administré de manière centralisée, un attaquant disposant d'un accès au réseau local peut lancer une attaque de type DHCP spoofing pour cibler tous les clients se connectant ou renouvelant leur bail DHCP.

Les environnements les plus exposés sont les réseaux d'entreprise non segmentés où un attaquant ayant obtenu un accès initial peut immédiatement cibler l'ensemble des systèmes Windows du segment. Les réseaux OT/ICS où des systèmes Windows embarqués dans des automates ou des IHM industrielles reçoivent rarement les patches de sécurité dans les délais normaux représentent également un risque élevé. Les datacenters hébergeant de nombreux Windows Server configurés en DHCP, notamment pour les VMs dans des environnements VDI (Virtual Desktop Infrastructure), sont aussi particulièrement exposés.

Microsoft n'a confirmé aucune exploitation active au moment de la divulgation, mais l'absence d'exploitation connue ne doit pas rassurer les équipes de sécurité. Des groupes APT et des opérateurs de ransomware disposent de capacités de reverse engineering des patches Microsoft, et la fenêtre entre la publication d'un patch et la mise au point d'un exploit fonctionnel est historiquement de quelques jours à deux semaines pour des vulnérabilités CVSS 9+ facilement exploitables.

La condition d'exploitation principale est la proximité réseau : l'attaquant doit pouvoir envoyer des paquets DHCP au système cible, soit depuis le même VLAN, soit en contournant les protections DHCP snooping si elles sont absentes. Dans les environnements cloud (Azure, AWS), les instances Windows sont également potentiellement affectées selon leur configuration réseau.

Recommandations immédiates

  • Appliquer immédiatement la mise à jour cumulative de juin 2026 via Windows Update, WSUS ou Microsoft Endpoint Configuration Manager — Microsoft Security Advisory juin 2026 (CVE-2026-44815)
  • Prioriser les systèmes exposés sur des réseaux non segmentés : postes VPN, serveurs Windows Server accessibles depuis des VLANs utilisateurs, systèmes OT/ICS
  • Activer le DHCP Snooping sur tous les commutateurs managés pour bloquer les serveurs DHCP non autorisés sur le réseau (disponible sur Cisco, HP/Aruba, Juniper)
  • Déployer des règles de détection IDS/IPS basées sur les signatures Snort publiées par Cisco Talos pour CVE-2026-44815
  • Si le patch ne peut être appliqué immédiatement, envisager la désactivation du service DHCP Client sur les serveurs configurés en IP statique : sc stop dhcp && sc config dhcp start= disabled
  • Surveiller les logs DHCP pour détecter des serveurs DHCP non autorisés (réponses DHCPOFFER provenant d'adresses MAC inconnues)

⚠️ Urgence

CVE-2026-44815 (CVSS 9.8) présente un caractère potentiellement wormable : un attaquant réseau peut compromettre automatiquement tous les systèmes Windows non patchés sur un segment sans aucune interaction utilisateur. Le Patch Tuesday juin 2026 doit être déployé en urgence, particulièrement sur les serveurs critiques et les systèmes exposés sur des réseaux peu segmentés.

Comment savoir si je suis vulnérable ?

Vérifiez la version de build de vos systèmes Windows via winver ou systeminfo | findstr "OS Build". Tout système Windows 10/11 ou Windows Server 2016-2025 sans la mise à jour cumulative de juin 2026 est vulnérable. Vérifiez également si le service DHCP Client est actif : sc query dhcp — un statut RUNNING sur un système non patché confirme l'exposition. Utilisez un scanner de vulnérabilités tel que Tenable Nessus (plugin CVE-2026-44815) ou Qualys pour auditer votre parc en masse.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit