CVE-2026-50518 : heap buffer overflow CVSS 9.8 dans Windows DHCP Server permettant une RCE non authentifiée sur Windows Server 2012-2025. Patch Tuesday juillet 2026 — exploitation probable imminente.
En bref
- CVE-2026-50518 : exécution de code à distance dans le service Windows DHCP Server via débordement de tampon dans le tas (heap buffer overflow), CVSS 9.8 Critique
- Systèmes affectés : Windows Server 2012 à 2025 (y compris Server Core) et Windows 10 versions 1607/1809 avec le rôle DHCP Server activé
- Action urgente : appliquer les mises à jour de sécurité Microsoft du 14 juillet 2026 — exploitation classée « more likely » par Microsoft
Les faits
CVE-2026-50518 est une vulnérabilité de type heap-based buffer overflow (CWE-122) affectant le service Windows DHCP Server, divulguée le 14 juillet 2026 dans le cadre du Patch Tuesday de juillet 2026 — la plus grande mise à jour mensuelle de l'histoire de Microsoft avec 621 CVE corrigés simultanément. La faille obtient un score CVSS 3.1 de 9.8, avec un vecteur d'attaque réseau (AV:N), une faible complexité (AC:L), sans privilèges requis (PR:N) et sans interaction utilisateur (UI:N). L'impact en termes de confidentialité, d'intégrité et de disponibilité est total (C:H/I:H/A:H).
Le mécanisme d'exploitation repose sur l'envoi de requêtes réseau spécialement conçues contenant des données de nom de domaine malformées à destination d'un système exécutant le service DHCP Server. La fonction vulnérable ne valide pas correctement la taille des données entrantes : en fournissant un nom de domaine dont la longueur dépasse la limite attendue, un attaquant provoque un dépassement dans le tas (heap overflow), corrompant la mémoire adjacente et, dans les conditions idéales, redirigeant le flux d'exécution vers du code arbitraire. La seule condition préalable est une connectivité réseau vers le port UDP 67 (DHCP) — aucune authentification n'est requise.
Le périmètre d'exposition est remarquablement large. La faille affecte l'ensemble des versions de Windows Server actuellement sous support : Windows Server 2012 et 2012 R2 (Extended Security Updates), Windows Server 2016, 2019, 2022 et le tout récent Windows Server 2025 dans toutes ses variantes, y compris les installations Server Core. De manière plus surprenante, la vulnérabilité touche également les postes Windows 10 versions 1607 (Anniversary Update) et 1809 (October 2018 Update) dès lors que le rôle optionnel DHCP Server y est activé — situation fréquente dans les environnements de test ou les petites structures sans serveur dédié.
Le service Windows DHCP Server est un composant infrastructurel fondamental : il distribue automatiquement les adresses IP, masques de sous-réseau, passerelles par défaut et serveurs DNS à l'ensemble des clients du réseau. Un attaquant capable d'exécuter du code sur ce serveur disposerait d'un levier stratégique exceptionnel pour empoisonner les réponses DHCP, rediriger le trafic réseau ou pivoter vers d'autres systèmes dans le cadre d'une attaque plus large. Dans les environnements Active Directory où le DHCP Server est colocalisé avec un contrôleur de domaine — configuration courante dans les PME — l'impact potentiel est encore amplifié.
Microsoft classe CVE-2026-50518 sous la catégorie « Exploitation More Likely » (exploitation plus probable), une désignation réservée aux failles que l'équipe de sécurité interne estime avoir de bonnes chances d'être armées à court terme. Ce classement indique que les chercheurs Microsoft ont identifié les primitives nécessaires à l'élaboration d'un exploit fonctionnel. Au 15 juillet 2026, aucune exploitation in-the-wild n'avait été confirmée et aucun code d'exploitation public (PoC) n'était disponible sur des dépôts publics, mais la fenêtre de grâce pourrait être très brève compte tenu de la criticité et de l'ubiquité du service.
Check Point a publié des signatures IPS couvrant CVE-2026-50518, permettant de détecter et bloquer les tentatives d'exploitation au niveau du périmètre réseau. Ces signatures constituent une défense en profondeur précieuse pour les serveurs qui ne peuvent pas être patchés immédiatement. D'autres fournisseurs NDR/NTA ont commencé à intégrer des règles de détection basées sur les anomalies de taille dans les paquets DHCP ciblant les serveurs. Il est à noter qu'il n'existe pas de workaround documenté préservant la fonctionnalité DHCP : la désactivation du service supprime l'exposition mais casse la distribution automatique d'adresses IP sur le réseau.
CVE-2026-50518 n'est pas la seule faille DHCP Server corrigée en juillet 2026. CVE-2026-50685, une autre RCE dans le même composant, a été divulguée simultanément, renforçant l'idée que le service DHCP Server fait l'objet d'une attention particulière de la part des chercheurs. Les administrateurs doivent traiter l'ensemble du lot de correctifs DHCP de juillet 2026 comme une priorité unifiée. Les mises à jour cumulatives Microsoft du 14 juillet 2026 couvrent les deux vulnérabilités. Le CERT-FR a couvert ces vulnérabilités dans le bulletin hebdomadaire CERTFR-2026-ACT-030 (semaine 28, 13 juillet 2026).
Du point de vue forensique, la compromission d'un DHCP Server est difficile à détecter a posteriori car le processus DHCP (dhcpserver.exe) fonctionne sous SYSTEM et un attaquant compromettant ce service dispose immédiatement des droits les plus élevés sur le système. Les journaux d'audit Windows DHCP (Event IDs 1014-1016) peuvent révéler des requêtes anormales en volume ou en structure, mais une fois le shell obtenu, l'attaquant peut effacer ces traces. La surveillance réseau via NDR constitue le meilleur vecteur de détection préventive.
Impact et exposition
Tout environnement Windows sur lequel le rôle DHCP Server est activé et accessible depuis le réseau est directement exposé. Dans la grande majorité des entreprises, les serveurs DHCP sont accessibles depuis l'ensemble du réseau interne — voire depuis des VLANs clients — ce qui place potentiellement des millions de systèmes dans le périmètre d'exposition mondial. Les environnements multi-sites avec des DHCP Server distribués sur chaque succursale multiplient la surface d'attaque et la complexité de remédiation.
L'exploitation ne requiert aucune authentification préalable et aucune interaction utilisateur : un attaquant disposant d'un accès réseau peut déclencher la vulnérabilité de manière entièrement automatisée. La faible complexité d'attaque (AC:L) signifie que l'exploitation ne dépend pas de conditions environnementales particulières — pas de race condition, pas de configuration spécifique requise. Ces caractéristiques en font un candidat idéal pour l'intégration dans des frameworks d'exploitation automatisés ou des ransomwares ciblant les infrastructures Windows.
Le risque est amplifié dans les architectures où le DHCP Server est colocalisé avec d'autres services critiques (Active Directory, DNS). Les architectures MSP gérant les serveurs DHCP de multiples clients sont particulièrement exposées à des scénarios de compromission en chaîne. Les organisations ayant migré vers des solutions DHCP alternatives (Cisco, Infoblox, ISC DHCP) ne sont pas affectées par cette CVE spécifique.
Recommandations immédiates
- Appliquer les mises à jour de sécurité Microsoft du 14 juillet 2026 sur tous les Windows Server exécutant le rôle DHCP Server — advisory Microsoft Security Update Guide CVE-2026-50518 pour les numéros KB par version
- En cas d'impossibilité de patcher immédiatement : activer les signatures IPS Check Point pour CVE-2026-50518 et configurer des ACL réseau limitant l'accès UDP 67 aux équipements légitimes uniquement
- Inventorier tous les systèmes avec le rôle DHCP Server activé :
Get-WindowsFeature -Name DHCP | Where-Object InstallState -eq Installed - Prioriser les serveurs DHCP colocalisés avec des contrôleurs de domaine Active Directory en raison du risque d'escalade en cascade
- Surveiller les Event IDs Windows DHCP Server (1014, 1015, 1016) et les anomalies de taille dans les paquets DHCP via NDR
- Appliquer également CVE-2026-50685 (autre RCE DHCP Server corrigée dans le même lot)
⚠️ Urgence
CVSS 9.8 — exploitation non authentifiée via le réseau sans interaction utilisateur. Microsoft classe cette faille « Exploitation More Likely », signifiant qu'un exploit fiable est probable à court terme. La combinaison service exposé réseau interne + CVSS maximal + rôle infrastructurel critique justifie une application des correctifs sous 48 à 72 heures maximum. Ne pas attendre le prochain cycle de maintenance standard.
Comment savoir si je suis vulnérable ?
Sur chaque Windows Server, exécutez en PowerShell (en tant qu'administrateur) : Get-WindowsFeature -Name DHCP. Si le résultat affiche InstallState : Installed, le rôle est actif et le système est vulnérable si les correctifs de juillet 2026 n'ont pas été appliqués. Vérifiez le niveau de patch avec (Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5).HotFixID et comparez aux KB listés dans l'advisory Microsoft CVE-2026-50518. Sur Windows 10, vérifiez via Get-WindowsCapability -Online | Where-Object Name -like "*DHCP*".
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-50522 & 58644 : Double RCE SharePoint CVSS 9.8 non-auth
CVE-2026-50522 et CVE-2026-58644 : deux RCE non authentifiées CVSS 9.8 dans SharePoint Server par désérialisation. CVE-2026-58644 exploitée in-the-wild, CVE-2026-50522 démontrée à Pwn2Own Berlin. Patch urgent juillet 2026.
CVE-2026-56155 : Zero-Day AD FS exploité CISA KEV, deadline 28/07
CVE-2026-56155 : zero-day AD FS EoP exploité in-the-wild par des acteurs avancés, découvert par Microsoft DART. Ajouté au CISA KEV le 14 juillet 2026, deadline fédérale au 28 juillet. Patch KB5121391 urgent.
CVE-2026-57094 : RCE Windows Media Foundation fichier vidéo CVSS 8.8
CVE-2026-57094 est un heap buffer overflow dans Windows Media Foundation permettant l'exécution de code à distance via un fichier vidéo ou audio malveillant. CVSS 8.8, affecte Windows 10/11 et Windows Server. Patch disponible depuis le 14 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire