CVE-2026-45648 : RCE Active Directory CVSS 8.8, Patch Tuesday juin 2026

Les faits

Dans le cadre de son Patch Tuesday de juin 2026 — une publication historique totalisant 206 vulnérabilités corrigées en un seul cycle, record absolu depuis la création du programme — Microsoft a divu lgé CVE-2026-45648, une vulnérabilité d'exécution de code à distance (RCE) de sévérité critique affectant Windows Active Directory Domain Services (ADDS). Avec un score CVSS 3.1 de 8.8 et une classification Critical dans le bulletin Microsoft, cette vulnérabilité représente une menace sérieuse pour l'ensemble des organisations s'appuyant sur Active Directory, soit la quasi-totalité des entreprises utilisant Windows en environnement professionnel.

CVE-2026-45648 est causée par un débordement de pile (stack-based buffer overflow) dans le service Active Directory Domain Services, précisément dans le traitement des requêtes reçues sur l'interface NSPI RPC (Name Service Provider Interface Remote Procedure Call). L'interface NSPI est un protocole Microsoft historique utilisé notamment par les clients Outlook et Exchange pour accéder à l'annuaire Active Directory (carnet d'adresses global, GAL). Son exposition sur le réseau interne d'entreprise — via le port RPC dynamique ou les ports 6001/6004 selon les configurations — est quasi-universelle dans les environnements Active Directory, ce qui amplifie considérablement la surface d'attaque.

Techniquement, en fournissant des entrées spécialement construites via l'interface NSPI RPC, un attaquant peut déclencher un dépassement de tampon en écriture hors-limites (out-of-bounds write) dans le processus du service d'annuaire (lsass.exe ou ntdsa.dll). Cette corruption mémoire peut être exploitée pour rediriger le flux d'exécution et injecter du code arbitraire dans le contexte SYSTEM du contrôleur de domaine, conférant à l'attaquant les droits les plus élevés sur la machine cible.

Ce qui rend CVE-2026-45648 particulièrement dangereuse est la barrière d'entrée très basse pour son exploitation. Selon les analyses de Rapid7 et de l'équipe CrowdStrike, des identifiants de domaine standards — un simple compte utilisateur Active Directory sans aucun privilège particulier — sont suffisants pour déclencher l'exploitation via l'interface NSPI RPC. Dans tout réseau d'entreprise Windows, des centaines voire des milliers de comptes disposent de ce niveau d'accès minimal : employés, prestataires, comptes de service, comptes techniques. La surface d'attaque interne est donc extrêmement large.

Le vecteur CVSS confirme ce profil de risque élevé : AV:N (réseau — exploitable à distance), AC:L (complexité faible — exploitation reproductible), PR:L (faibles privilèges — un compte de domaine standard suffit), UI:N (aucune interaction utilisateur — exploitation silencieuse et automatisable). Cette combinaison fait de CVE-2026-45648 une cible idéale pour des attaquants ayant déjà obtenu une première présence dans le réseau via phishing, malware ou accès VPN compromis.

Dans un scénario d'attaque réaliste, un acteur ayant compromis un poste utilisateur classique peut exploiter CVE-2026-45648 pour élever ses privilèges jusqu'au niveau SYSTEM sur un contrôleur de domaine (DC). Le DC est l'équivalent des clés du royaume dans une infrastructure Windows : il contrôle l'ensemble des authentifications, des accès aux ressources partagées, et gère les politiques de sécurité de tout le réseau. Une fois un DC compromis, l'attaquant peut réaliser des attaques DCSync pour exporter tous les hash de mots de passe, créer des tickets Kerberos forgés (Golden Tickets), ou déployer des ransomwares sur l'ensemble du parc via les GPO Active Directory.

Au 18 juin 2026, Microsoft n'a pas signalé d'exploitation active de CVE-2026-45648 dans la nature, et aucun PoC public n'est disponible. Cependant, la Zero Day Initiative (ZDI) et les équipes Talos Intelligence soulignent que les vulnérabilités RPC Active Directory ont historiquement été ciblées très rapidement par des groupes APT et des opérateurs de ransomware. Le délai moyen entre la publication du patch et le développement d'un exploit fonctionnel pour ce type de failles se mesure souvent en jours ou semaines.

CVE-2026-45648 n'est pas la seule vulnérabilité Active Directory corrigée lors du Patch Tuesday de juin 2026. Microsoft a également adressé des vulnérabilités dans les composants Kerberos et LDAP. La correction simultanée de multiples vulnérabilités dans la couche de services d'annuaire lors d'un même cycle suggère une revue de sécurité approfondie, renforçant l'urgence d'appliquer l'ensemble des mises à jour de juin 2026 sur tous les contrôleurs de domaine sans exception.

Impact et exposition

Active Directory Domain Services est déployé dans pratiquement toutes les organisations utilisant Windows en environnement professionnel, ce qui rend CVE-2026-45648 potentiellement applicable à des millions d'entreprises dans le monde. En France, les PME, ETI et grandes entreprises s'appuyant sur l'infrastructure Microsoft (Windows Server, Exchange, SharePoint, Teams en mode hybride) sont directement concernées. Windows Server 2019, 2022 et 2025 sont tous affectés, couvrant l'essentiel des contrôleurs de domaine en production aujourd'hui.

Le profil d'attaque interne est particulièrement préoccupant dans le contexte actuel : avec la généralisation du télétravail et des accès VPN, des comptes de domaine sont régulièrement compromis via des campagnes de phishing ou de credential stuffing. Un attaquant ayant obtenu un seul couple identifiant/mot de passe de domaine valide peut transformer cette compromission minimale en prise de contrôle totale de l'Active Directory via CVE-2026-45648.

Les opérateurs de ransomware constituent les principaux bénéficiaires de ce type de vulnérabilité. Des groupes comme LockBit, BlackCat/ALPHV et leurs héritiers ont systématiquement exploité les failles des contrôleurs de domaine pour déployer leurs charges malveillantes à grande échelle via les GPO. Une exploitation réussie de CVE-2026-45648 dans une attaque ransomware peut conduire au chiffrement de l'ensemble du parc informatique en quelques heures depuis la compromission initiale du DC.

Les environnements hybrides — où Active Directory on-premises est synchronisé avec Microsoft Entra ID via Azure AD Connect — présentent un risque de propagation vers le cloud. Une compromission du DC on-premises peut se propager aux identités cloud si les mécanismes de synchronisation ne sont pas correctement segmentés, élargissant l'impact à l'ensemble de l'infrastructure Microsoft 365 de l'organisation.

Recommandations immédiates

• Appliquer immédiatement les mises à jour de sécurité du Patch Tuesday juin 2026 sur tous les contrôleurs de domaine Windows Server 2019, 2022 et 2025
• Restreindre l'accès réseau à l'interface NSPI RPC des DCs aux seuls systèmes légitimement autorisés (serveurs Exchange, clients Outlook managés) via des règles de pare-feu
• Auditer les journaux d'événements Active Directory (Event ID 4625, 4768, 4769, 4672) pour détecter des patterns d'accès inhabituels depuis des comptes utilisateurs standards vers les DCs
• Vérifier l'absence de nouveaux comptes à hauts privilèges (Domain Admins, Enterprise Admins) créés récemment sans processus de changement documenté
• Activer Windows Defender Credential Guard sur les contrôleurs de domaine pour protéger les secrets d'authentification en mémoire contre les attaques DCSync et Pass-the-Hash
• Surveiller Azure AD Connect pour détecter des synchronisations d'objets anormales pouvant indiquer une propagation cloud depuis une compromission on-premises