En bref

  • CVE-2026-47291 : dépassement d’entier dans HTTP.sys (pilote noyau Windows) permettant l’exécution de code à distance non authentifiée — CVSS 9.8, potentiellement wormable
  • Affecte Windows Server 2012 R2 à 2025 et Windows 10/11 avec MaxRequestBytes configuré au-delà de 65 534 octets
  • Action urgente : appliquer le Patch Tuesday Microsoft de juin 2026 — ou fixer MaxRequestBytes à 16 384 comme mitigation immédiate

Les faits

Le 10 juin 2026, Microsoft a publié son Patch Tuesday mensuel corrigeant un volume record de plus de 200 vulnérabilités, dont 32 classées Critical. Parmi elles, CVE-2026-47291 se distingue par sa dangerosité particulière : c’est une vulnérabilité Remote Code Execution dans HTTP.sys, le pilote mode noyau gérant le protocole HTTP dans Windows. Son score CVSS v3.1 est de 9.8 (Critical), avec vecteur d’attaque réseau, complexité faible, aucune authentification requise et aucune interaction utilisateur nécessaire. Microsoft la classe « Exploitation More Likely » — la mention de risque le plus élevé pour une vulnérabilité sans exploitation confirmée au moment de la publication. Ce classement a été confirmé et détaillé par le Zero Day Initiative dans son Security Update Review de juin 2026.

Techniquement, CVE-2026-47291 est un dépassement d’entier (integer overflow) dans le parseur de requêtes HTTP de HTTP.sys. HTTP.sys est un composant fondamental de Windows : il traite les connexions HTTP entrantes directement au niveau du noyau, avant même qu’IIS, Kestrel, WinRM ou toute autre application ne voie la requête. Le dépassement se produit lors du traitement de requêtes HTTP dont la taille dépasse un seuil calculé à partir du paramètre de registre MaxRequestBytes. Lorsque cette valeur est supérieure à 65 534 octets (environ 64 Ko), une requête HTTP malformée peut provoquer un calcul incorrect de la taille du buffer, aboutissant à une écriture hors limites en mémoire noyau (kernel heap corruption).

La nature noyau de HTTP.sys rend cette vulnérabilité particulièrement grave. Une exploitation réussie octroie à l’attaquant des privilèges SYSTEM sur la machine cible — le niveau le plus élevé sur un système Windows. Contrairement à des vulnérabilités applicatives s’exécutant dans un espace utilisateur restreint, une RCE noyau permet une compromission totale : installation de rootkits, désactivation des mécanismes de sécurité (EDR, Windows Defender), modification de la politique d’audit, et mouvement latéral vers d’autres systèmes du réseau. Microsoft confirme explicitement dans son advisory que la vulnérabilité est potentiellement wormable : un malware peut exploiter CVE-2026-47291 pour se propager de serveur en serveur sans intervention humaine.

La condition d’exploitation est importante à préciser : les systèmes utilisant la valeur par défaut de MaxRequestBytes (16 384 octets, soit 16 Ko) ne sont pas exposés dans la forme actuelle de la vulnérabilité. CVE-2026-47291 se manifeste uniquement lorsque MaxRequestBytes est configuré à une valeur supérieure à 65 534. Cette configuration non standard est cependant répandue dans les environnements hébergeant des applications web traitant de larges payloads : API REST avec JSON volumineux, portails d’upload de fichiers, applications de gestion documentaire ou de reporting. Rapid7 et Tenable indiquent dans leurs analyses de patch que des déploiements IIS en entreprise présentent fréquemment des valeurs MaxRequestBytes augmentées pour des raisons fonctionnelles applicatives.

HTTP.sys sert de couche de base pour de nombreux services Windows : Internet Information Services (IIS), WinRM (Windows Remote Management), les API REST exposées via HttpListener dans .NET, ainsi que Microsoft Exchange Server qui utilise HTTP.sys pour traiter les connexions OWA, EWS et ActiveSync. Tout service s’appuyant sur HTTP.sys est potentiellement exposé si MaxRequestBytes dépasse le seuil critique. L’analyse publiée par Cisco Talos dans son billet Patch Tuesday de juin 2026 confirme que les serveurs Exchange, les fermes IIS et les applications .NET utilisant HttpListener constituent les cibles les plus prioritaires pour les attaquants.

La comparaison avec CVE-2021-31166, une précédente RCE wormable dans HTTP.sys (CVSS 9.8, corrigée en mai 2021), est instructive. Cette vulnérabilité n’avait pas donné lieu à une exploitation massive dans la nature, mais des PoC fonctionnels avaient été publiés dans les 48 heures suivant le patch, rendant l’exploitation accessible à un large éventail d’acteurs. L’historique des vulnérabilités HTTP.sys montre que ce composant attire rapidement l’attention des chercheurs et des acteurs malveillants en raison de son positionnement dans la chaîne de traitement des requêtes réseau. À l’heure de publication de cet article, aucun PoC public n’est disponible pour CVE-2026-47291, mais les équipes ZDI et Rapid7 travaillent à l’analyse du diff de patch.

Microsoft a publié le correctif dans les mises à jour cumulatives de juin 2026 pour toutes les versions Windows supportées. Le correctif modifie le calcul des limites de buffer dans HTTP.sys pour prévenir le dépassement d’entier, quelle que soit la valeur configurée pour MaxRequestBytes. ZDI a été crédité pour la découverte et le signalement responsable. Il convient de noter que même les systèmes avec MaxRequestBytes par défaut doivent appliquer le patch : ce paramètre peut être modifié à tout moment par un administrateur ou un script de déploiement applicatif. Sources : Microsoft MSRC advisory CVE-2026-47291, Zero Day Initiative June 2026 Security Update Review, Cisco Talos Patch Tuesday analysis juin 2026, Rapid7 Patch Tuesday Analysis juin 2026.

Impact et exposition

Sont directement exposés tous les serveurs Windows (Server 2012 R2, 2016, 2019, 2022, 2025) et postes Windows 10/11 qui exposent des services HTTP et pour lesquels MaxRequestBytes dépasse 65 534 octets. Dans la pratique, les environnements les plus à risque sont : les fermes de serveurs IIS hébergeant des applications d’entreprise avec upload ou API volumineuses, les serveurs Exchange On-Premises (qui utilisent HTTP.sys pour OWA, EWS et ActiveSync, et pour lesquels les administrateurs augmentent souvent MaxRequestBytes), les API .NET exposées via HttpListener, et les serveurs WinRM dans les environnements d’administration à distance.

Le caractère potentiellement wormable de CVE-2026-47291 mérite une attention particulière dans les architectures réseau peu segmentées. Un seul serveur Windows compromis dans un datacenter peut servir de pivot pour atteindre d’autres serveurs Windows exposant HTTP.sys sur le réseau interne, sans nécessiter d’interaction humaine. Ce scénario de propagation automatique rappelle les épidémies de WannaCry (2017) et NotPetya, bien que le vecteur soit différent. Une infection initiale via un serveur IIS exposé sur Internet peut rapidement se propager à l’ensemble d’un réseau Windows mal segmenté.

Les serveurs Exchange On-Premises méritent une attention prioritaire : Exchange utilise HTTP.sys intensivement et les configurations MaxRequestBytes y sont fréquemment augmentées. Un serveur Exchange compromis via CVE-2026-47291 donne accès à l’ensemble des communications email de l’organisation et peut servir de plateforme pour des attaques de phishing interne indétectables. Un accès SYSTEM sur Exchange permet également le vol de l’ensemble des hachages de mots de passe via LSASS.

Les systèmes avec MaxRequestBytes par défaut (16 384 octets) ne sont pas immédiatement vulnérables à CVE-2026-47291, mais restent dans le périmètre de patch obligatoire : ce paramètre peut être modifié par un attaquant ayant obtenu un accès limité, puis la vulnérabilité RCE utilisée pour une élévation de privilèges complète. L’application du patch élimine définitivement cette possibilité de chaînage.

Recommandations immédiates

  • Appliquer les mises à jour de sécurité Microsoft de juin 2026 (Patch Tuesday) sur tous les systèmes Windows — via Windows Update, WSUS, Microsoft Update Catalog ou SCCM/Intune
  • Mitigation immédiate si le patch n’est pas encore déployé : vérifier et corriger MaxRequestBytes dans le registre Windows (HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters) — fixer à 16384 si la valeur dépasse 65534, puis redémarrer le service HTTP.sys
  • Prioriser Exchange Server On-Premises : vérifier les paramètres MaxRequestBytes spécifiques dans les fichiers de configuration IIS d’Exchange (applicationHost.config)
  • Inventorier tous les services Windows exposant HTTP.sys via la commande : netsh http show servicestate
  • Activer les règles Snort/Suricata publiées par Cisco Talos le 10 juin 2026 pour détecter les tentatives d’exploitation de CVE-2026-47291
  • Segmenter le réseau pour limiter les connexions HTTP inter-serveurs aux seuls flux légitimes et documentés — réduire la surface de propagation wormable

⚠️ Urgence

CVE-2026-47291 est classée « Exploitation More Likely » par Microsoft avec un CVSS de 9.8 et un impact noyau (SYSTEM). Son caractère potentiellement wormable — similaire à CVE-2021-31166 — en fait une priorité absolue. Appliquer le Patch Tuesday de juin 2026 avant la fin de journée. Ne pas attendre le prochain cycle de maintenance planifié.

Comment savoir si je suis vulnérable ?

Exécutez en PowerShell administrateur : Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\HTTP\Parameters" -Name MaxRequestBytes -ErrorAction SilentlyContinue. Si la valeur retournée dépasse 65534, le système est exposé. Si aucune valeur n’est retournée, la valeur par défaut (16384) s’applique et le système n’est pas immédiatement vulnérable. Vérifiez également les paramètres maxAllowedContentLength dans IIS Manager. Pour l’inventaire en masse, utilisez WSUS ou Microsoft Endpoint Configuration Manager pour identifier les systèmes n’ayant pas appliqué les KB de juin 2026.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit