En bref

  • CVE-2026-50518 est un heap buffer overflow CVSS 9.8 dans Windows DHCP Server, corrigé dans le Patch Tuesday record de juillet 2026 (622 CVE au total)
  • Toutes les versions Windows Server de 2012 à 2025 avec le rôle DHCP Server activé sont vulnérables ; Windows 10 versions 1607 et 1809 également concernés
  • Déployer immédiatement les mises à jour de sécurité de juillet 2026 ; aucune exploitation active confirmée à ce stade, mais la fenêtre est courte

Les faits

Le 8 juillet 2026, Microsoft a publié son Patch Tuesday mensuel avec un chiffre jamais atteint : 622 CVE corrigées en une seule livraison. Dans cette avalanche de correctifs, un sous-ensemble attire particulièrement l'attention des administrateurs système et des équipes de sécurité : les trois vulnérabilités affectant la pile DHCP de Windows, dont la principale, CVE-2026-50518, obtient un score CVSS de 9.8 et une cotation Microsoft "exploitation plus probable".

CVE-2026-50518 est un heap-based buffer overflow (CWE-122) dans le composant Windows DHCP Server. Le vecteur est réseau, la complexité d'attaque est faible, aucune authentification n'est requise, aucune interaction utilisateur n'est nécessaire. Un attaquant peut envoyer un paquet réseau spécialement forgé vers le port UDP 67 d'un serveur DHCP vulnérable et obtenir l'exécution de code arbitraire avec les droits du service DHCP — qui opère typiquement avec des privilèges élevés sur le système hôte.

La surface d'attaque est massive. CVE-2026-50518 touche la totalité des versions supportées de Windows Server, de Server 2012 (Extended Security Updates) à Windows Server 2025, y compris les installations Server Core. Elle atteint également Windows 10 versions 1607 et 1809 lorsque le rôle DHCP Server y est activé. En pratique, cela couvre l'immense majorité des infrastructures Windows actives dans les datacenters français et européens.

Deux vulnérabilités connexes complètent le tableau DHCP de ce Patch Tuesday. CVE-2026-50370, également une RCE côté serveur DHCP avec un CVSS de 8.8, est exploitable depuis une position réseau adjacente — moins immédiatement critique qu'une faille réseau directe, mais très pertinente en contexte post-intrusion. CVE-2026-54128, avec un CVSS de 8.4, cible le client DHCP Windows et requiert un accès local, représentant un vecteur d'escalade de privilèges sur un poste utilisateur déjà compromis.

La Microsoft Security Response Center a publié l'advisory officiel le 8 juillet 2026, accompagné des correctifs pour l'ensemble des systèmes affectés via Windows Update, WSUS et Microsoft Update Catalog. À la date du 15 juillet 2026, aucune exploitation active dans la nature n'avait encore été confirmée par Microsoft, CISA ou les principaux éditeurs de sécurité (CrowdStrike, Rapid7, Tenable, Zero Day Initiative). L'ensemble des analystes s'accorde cependant sur un point : pour une faille CVSS 9.x à vecteur réseau non authentifié de cette visibilité, la fenêtre avant l'apparition d'un PoC public se mesure en jours, pas en semaines.

Ce Patch Tuesday de juillet 2026 corrige également trois zero-days exploités activement : CVE-2026-56155 dans Active Directory Federation Services (élévation vers admin, exploitation confirmée) et CVE-2026-56164 dans SharePoint Server (missing authentication check, deadline CISA fixée au 17 juillet). Ces zero-days doivent évidemment passer en premier dans toute matrice de priorisation. Mais une fois ces zero-days traités, CVE-2026-50518 doit immédiatement figurer en tête des priorités suivantes.

La raison est structurelle : le rôle DHCP Server de Windows est présent dans des dizaines de milliers d'infrastructures en France et en Europe. Il est très souvent installé sur des contrôleurs de domaine Active Directory — configuration courante en PME et ETI — ou sur des serveurs d'infrastructure centraux. Sa compromission via CVE-2026-50518 ouvrirait un accès privilégié au cœur du système d'information. Dans les environnements Active Directory, un serveur DHCP compromis peut de plus être utilisé pour empoisonner les réponses DHCP (DHCP starvation, rogue DHCP), facilitant des attaques Man-in-the-Middle sur l'ensemble du domaine.

Il n'existe pas de mitigation alternative documentée par Microsoft pour CVE-2026-50518 permettant de maintenir le service DHCP actif tout en bloquant l'exploitation. Le seul remède complet est l'application du correctif de juillet 2026. Pour les organisations qui ne peuvent pas patcher immédiatement — fenêtres de maintenance contraintes, environnements critiques — la recommandation temporaire est l'isolation du serveur DHCP derrière des ACL réseau strictes limitant l'accès UDP/67 aux seules sources légitimes, couplée à une surveillance SOC renforcée.

Notons que ce Patch Tuesday record à 622 CVE pose une question structurelle sur la capacité des équipes à maintenir le rythme du patch management Microsoft. Avec un volume mensuel multiplié par 6 en six ans, la priorisation basée sur le risque réel n'est plus une bonne pratique optionnelle — c'est une condition de survie opérationnelle. CVE-2026-50518, avec son CVSS 9.8 et son vecteur réseau non authentifié, illustre exactement le type de faille qui doit figurer en niveau 2 de priorité dans toute organisation disposant de Windows Server.

Impact et exposition

Toute organisation disposant d'un serveur Windows avec le rôle DHCP Server activé est exposée, quelle que soit la version de Windows Server (2012 à 2025). PME, ETI, collectivités territoriales et hôpitaux utilisant Windows Server comme infrastructure de base sont les plus concernés. La faille est particulièrement préoccupante dans les réseaux où le serveur DHCP est accessible depuis plusieurs VLANs, car un attaquant disposant d'un point d'entrée dans un segment quelconque peut atteindre le service.

Recommandations

  • Priorité 1 : déployer immédiatement les mises à jour de sécurité Microsoft de juillet 2026 sur tous les serveurs Windows hébergeant le rôle DHCP Server
  • Si le patch ne peut être appliqué dans les 48h, isoler le service DHCP derrière des ACL réseau restrictives limitant l'accès UDP/67-68 aux seules sources légitimes
  • Inventorier exhaustivement tous les systèmes Windows Server avec le rôle DHCP Server activé — y compris les installations oubliées sur des contrôleurs de domaine secondaires
  • Tester le correctif en staging avant déploiement généralisé pour anticiper d'éventuels effets de bord sur les services dépendants du DHCP
  • Mettre en place une alerte SOC sur les tentatives de connexion anormales vers UDP/67 depuis des sources non répertoriées

Alerte critique

CVE-2026-50518 affecte TOUTES les versions Windows Server de 2012 à 2025 avec le rôle DHCP actif. CVSS 9.8, vecteur réseau, aucune authentification requise. Les correctifs de juillet 2026 doivent être déployés avant l'apparition d'un PoC public, attendu dans les prochains jours.

Notre serveur DHCP est sur un réseau interne non exposé à internet. Sommes-nous vraiment en danger ?

Oui, la menace est réelle même sans exposition directe à internet. Un attaquant ayant déjà pris pied sur votre réseau — via phishing, compromission d'un poste utilisateur ou d'un accès VPN — peut exploiter CVE-2026-50518 depuis n'importe quel segment réseau pouvant atteindre le serveur DHCP. Dans les environnements où le DHCP Server cohabite avec un contrôleur de domaine Active Directory, la compromission mène directement à une élévation de privilèges vers l'AD. Le patch reste obligatoire.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit