En bref

  • CVE-2026-47291 : débordement d'entier et dépassement de tampon en tas dans HTTP.sys (mode noyau Windows), CVSS 9.8, RCE non-authentifié
  • Toutes les versions de Windows 10 1607 à Windows 11 26H1 et Windows Server 2012 à 2025 sont affectées
  • Action urgente : appliquer les mises à jour de sécurité du Patch Tuesday de juin 2026 (KB correspondant à chaque version Windows) — marqué « exploitation plus probable » par Microsoft

Les faits

CVE-2026-47291 est une vulnérabilité critique d'exécution de code à distance (RCE) affectant HTTP.sys, le composant de pile protocolaire HTTP du noyau Windows. Divulguée par Microsoft le 9 juin 2026 dans le cadre du Patch Tuesday de juin 2026 — le plus volumineux de l'histoire de Microsoft avec 208 CVE corrigées simultanément — cette faille a reçu un score CVSS 3.1 de 9.8 (vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), reflétant une exploitabilité maximale depuis le réseau, sans authentification préalable et sans interaction utilisateur requise. Microsoft l'a classée « exploitation plus probable » (Exploitation More Likely) dans son Security Update Guide, indiquant que des acteurs malveillants sont susceptibles de développer un exploit fiable à court terme.

HTTP.sys est le composant noyau Windows qui traite les requêtes HTTP avant qu'elles n'atteignent les applications en espace utilisateur. Il gère directement les connexions HTTP/HTTPS pour Internet Information Services (IIS), le Service de partage de fichiers Windows, les API REST exposées via HttpListener, et toute application utilisant la pile HTTP Windows native. Fonctionnant en mode noyau (ring 0), HTTP.sys bénéficie des privilèges système les plus élevés possible. Une vulnérabilité dans ce composant permet potentiellement à un attaquant d'atteindre une exécution de code avec des droits SYSTEM complets, sans jamais avoir besoin d'une élévation de privilèges supplémentaire.

La root cause technique de CVE-2026-47291 est un débordement d'entier (CWE-190, Integer Overflow) couplé à un dépassement de tampon en tas (CWE-122, Heap-based Buffer Overflow). Le composant HTTP.sys effectue des calculs arithmétiques sur la taille des champs d'en-têtes HTTP lors du parsing des requêtes entrantes. Lorsque des champs d'en-têtes sont construits avec des tailles spécifiquement choisies pour provoquer un débordement dans les calculs d'allocation mémoire, la mémoire du tas noyau est corrompue de manière contrôlable par l'attaquant. La requête malveillante atteint le parseur en mode noyau avant tout traitement applicatif — avant qu'IIS ou toute autre application ne voie la requête. Après corruption de la mémoire du tas noyau, une requête HTTP de suivi soigneusement construite déclenche l'exécution de code arbitraire dans le contexte du noyau Windows.

L'aspect critique de la chaîne d'exploitation réside dans l'absence totale de barrière de sécurité entre la faille et le contrôle total du système. Étant donné qu'HTTP.sys opère en ring 0, il n'existe aucune limite de privilèges à franchir après l'exploitation réussie : l'attaquant obtient directement des droits SYSTEM sur l'ensemble du système d'exploitation. Cette caractéristique distingue CVE-2026-47291 des vulnérabilités applicatives classiques pour lesquelles une élévation de privilèges post-exploitation est généralement nécessaire. Selon les analyses techniques publiées par CrowdStrike, Brinqa et le Zero Day Initiative (ZDI) dans leurs revues du Patch Tuesday de juin 2026, la vulnérabilité est « straightforward to exploit » pour un acteur disposant d'une compréhension intermédiaire des mécanismes d'exploitation mémoire.

La portée de la vulnérabilité est particulièrement étendue. CVE-2026-47291 affecte l'ensemble des versions Windows supportées par Microsoft : Windows 10 version 1607 (Édition Anniversaire) jusqu'à Windows 11 26H1 pour les postes clients, et Windows Server 2012 jusqu'à Windows Server 2025 pour les serveurs. Tous les systèmes exposant un port HTTP ou HTTPS à des connexions réseau non fiables sont potentiellement vulnérables, qu'il s'agisse de serveurs IIS, de serveurs API, de systèmes de partage de fichiers Windows, ou de tout service utilisant la pile HTTP native de Windows. L'ampleur de la surface d'attaque est considérable, en particulier dans les environnements d'entreprise où les services web Windows sont omniprésents.

Il existe cependant une condition atténuante importante documentée par Microsoft dans son Security Update Guide : les systèmes utilisant la valeur par défaut du registre MaxRequestBytes pour la pile HTTP Windows ne sont pas affectés par cette vulnérabilité spécifique. La valeur par défaut de ce paramètre limite la taille des requêtes HTTP acceptées par HTTP.sys de manière à prévenir le déclenchement du débordement. Toutefois, de nombreuses configurations d'entreprise augmentent cette valeur pour accommoder des applications nécessitant de gros en-têtes HTTP (authentification Kerberos, tokens JWT volumineux, proxys inverses). Ces configurations modifiées sont vulnérables même si le système est correctement configuré par ailleurs.

Le Patch Tuesday de juin 2026 a corrigé CVE-2026-47291 aux côtés de CVE-2026-45657 (RCE noyau Windows wormable, CVSS 9.8) et CVE-2026-44815 (RCE DHCP Windows, CVSS 9.8), formant un trio de vulnérabilités réseau critiques sans authentification sur des composants Windows fondamentaux. Cette concentration inédite de failles de sévérité maximale dans un seul Patch Tuesday a conduit de nombreux experts (CrowdStrike, Rapid7, Tenable) à qualifier ce patch de « critique » et à recommander son déploiement en priorité absolue, y compris sur les systèmes habituellement soumis à des cycles de patching plus longs pour des raisons de stabilité.

Au moment de la publication de cet article, aucun proof-of-concept (PoC) public n'a été officiellement confirmé pour CVE-2026-47291. Cependant, la classification « Exploitation More Likely » par Microsoft signifie que les équipes internes de Microsoft ont estimé que le développement d'un exploit fiable est techniquement réalisable et que des acteurs malveillants sont actifs dans ce sens. Selon le CVSS et les analyses de la Zero Day Initiative, la complexité d'attaque (AC:L — Low) indique que l'exploitation ne requiert pas de conditions particulières ou de race conditions difficiles à reproduire. Le délai entre la publication d'un patch et la disponibilité d'un exploit opérationnel pour des vulnérabilités similaires (débordements de tas noyau dans des parseurs réseau) est historiquement compris entre quelques jours et quelques semaines.

Impact et exposition

CVE-2026-47291 concerne tous les serveurs et postes Windows exposant des services HTTP ou HTTPS sur un réseau non fiable, en particulier les serveurs IIS, les serveurs d'API REST utilisant HttpListener, et les systèmes de partage de fichiers Windows. L'exploitation est possible depuis Internet ou depuis tout réseau interne (LAN/WAN) depuis lequel le port HTTP/HTTPS du système cible est accessible. Un attaquant non authentifié peut déclencher l'exécution de code en mode noyau en envoyant une unique requête HTTP spécialement construite — sans nécessiter de compte sur la machine cible ni d'interaction d'un utilisateur légitime.

Dans les environnements d'entreprise, la menace est amplifiée par le fait que les serveurs IIS et les services HTTP Windows internes sont souvent moins surveillés et moins fréquemment patchés que les serveurs exposés sur Internet directement. Un attaquant ayant pénétré dans le périmètre réseau via une autre faille peut exploiter CVE-2026-47291 pour compromettre rapidement de nombreux serveurs internes Windows et obtenir des droits SYSTEM sur chacun d'eux, facilitant des mouvements latéraux massifs.

Les scénarios d'impact les plus graves incluent : déploiement de ransomware avec droits SYSTEM sur des serveurs critiques, exfiltration de la base Active Directory via des droits noyau permettant le dump de mémoire, compromission de systèmes de continuité d'activité ou de sauvegardes, et utilisation des systèmes compromis comme infrastructure de command and control. La nature noyau de la vulnérabilité (ring 0) implique qu'un attaquant peut également désactiver les solutions de sécurité installées sur le système (antivirus, EDR) depuis le niveau de privilège obtenu, rendant la détection post-exploitation plus difficile.

Les organisations configurant MaxRequestBytes à une valeur élevée (supérieure à la valeur par défaut Windows) pour des besoins applicatifs sont les plus exposées. Cette configuration est fréquente dans les environnements utilisant l'authentification Windows intégrée avec Kerberos, les applications SharePoint hébergées sur IIS, et les proxys inverses Windows. Un audit de configuration MaxRequestBytes est recommandé en parallèle du déploiement des patches.

Recommandations immédiates

  • Appliquer les mises à jour de sécurité du Patch Tuesday de juin 2026 pour tous les systèmes Windows concernés — Microsoft Security Update Guide CVE-2026-47291
  • Prioriser le patching des serveurs IIS, serveurs API et serveurs Windows exposés sur Internet ou dans des DMZ
  • Vérifier la valeur de MaxRequestBytes dans le registre : HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParametersMaxRequestBytes — si la valeur est absente ou à la valeur par défaut (16384), la configuration atténuante est en place
  • Si une mise à jour immédiate est impossible : envisager de placer un WAF ou un proxy inverse devant les services HTTP Windows exposés pour filtrer les requêtes malformées
  • Activer la journalisation IIS avancée pour détecter des requêtes HTTP avec des en-têtes anormalement larges ou des connexions suspectes
  • Monitorer les alertes de détection noyau via l'EDR pour des comportements anormaux post-exploitation (injection de processus, désactivation d'antivirus)

⚠️ Urgence

CVE-2026-47291 est classée « Exploitation More Likely » par Microsoft. Elle affecte toutes les versions de Windows et permet une exécution de code en mode noyau sans authentification. Bien qu'aucun exploit public n'ait été confirmé à ce jour, la fenêtre de sécurité est limitée. Le déploiement des patches de juin 2026 doit être traité en priorité maximale sur tous les serveurs Windows exposant des services HTTP.

Comment savoir si je suis vulnérable ?

Vérifiez si le patch de juin 2026 est installé via PowerShell : Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-30)} | Select-Object HotFixID, InstalledOn. Consultez également le Microsoft Security Update Guide CVE-2026-47291 pour identifier le KB spécifique à votre version de Windows. Pour vérifier la valeur de MaxRequestBytes : reg query "HKLMSYSTEMCurrentControlSetServicesHTTPParameters" /v MaxRequestBytes. Si la clé n'existe pas ou vaut 16384 (0x4000), la condition atténuante est en place et le risque est réduit (mais le patch reste nécessaire).

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit