CVE-2026-40361 : zero-click Outlook ressuscite BadWinmail

Ce qui s'est passé

Le Patch Tuesday de mai 2026, publié dans la soirée du 13 mai, recèle une bombe à retardement pour les directions informatiques. Au milieu des 120 correctifs livrés par Microsoft figure la CVE-2026-40361, une vulnérabilité de type use-after-free affectant une DLL partagée entre Word et Outlook. Elle a été qualifiée par son découvreur Haifei Li, créateur du système de détection Expmon, comme la résurrection moderne de BadWinmail, le « tueur d'entreprise » de 2015.

La faille permet à un attaquant non authentifié d'exécuter du code arbitraire sur la machine d'une victime simplement en lui envoyant un courriel spécialement formé. Aucun clic, aucune ouverture de pièce jointe, aucune validation : la prévisualisation du message dans le volet de lecture d'Outlook suffit à déclencher la chaîne d'exploitation. C'est précisément ce caractère zero-click qui rapproche la CVE-2026-40361 de son ancêtre CVE-2015-6172, BadWinmail, dont l'impact était jugé dévastateur à l'époque mais avait été corrigé avant exploitation massive.

Microsoft a classé le bug en niveau critique avec un score CVSS provisoire de 8.4 et lui a attribué la mention « Exploitation More Likely », qui indique que l'éditeur juge probable qu'un exploit fiable soit développé dans les trente jours suivant la divulgation. Haifei Li a démontré la faisabilité de l'attaque dans un environnement Outlook adossé à Exchange Server, scénario quasi universel dans les entreprises françaises. Selon ses notes techniques, la corruption mémoire survient lors du parsing par une bibliothèque Word d'un objet riche embarqué dans le corps du message, mécanisme transparent pour l'utilisateur final.

La liste des produits affectés couvre l'ensemble du portefeuille bureautique Microsoft encore supporté : Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, Microsoft 365 Apps pour entreprises et particuliers, sur architectures 32 et 64 bits. Les versions Mac d'Office sont également vulnérables et reçoivent un correctif séparé. Les utilisateurs Microsoft 365 bénéficient d'un déploiement automatique progressif via le canal Current, tandis que les administrateurs d'Office volume licensing doivent récupérer manuellement les KB associés et les distribuer via WSUS, SCCM ou Intune.

Le Patch Tuesday de mai abrite par ailleurs deux autres vulnérabilités préoccupantes pour les administrateurs réseau. La CVE-2026-41089 cible Windows Netlogon avec un débordement de pile sur les contrôleurs de domaine, exploitable sans interaction utilisateur et offrant les privilèges SYSTEM à un attaquant authentifié sur le réseau. La CVE-2026-41096 frappe quant à elle le client DNS de Windows avec un score CVSS de 9.8 et un vecteur d'exploitation distant sans authentification. Conjuguées, ces failles ouvrent la porte à des chaînes d'attaque dévastatrices dans les environnements Active Directory mal segmentés.

Fait notable : pour la première fois depuis juin 2024, Microsoft annonce qu'aucun zero-day n'a été divulgué publiquement avant correctif ce mois-ci, selon les informations relayées par BleepingComputer et SecurityWeek. Cette accalmie ne doit pas faire baisser la garde, car la CVE-2026-40361 présente toutes les caractéristiques techniques d'une faille qui sera rapidement weaponisée par des courtiers d'accès initiaux et des groupes APT. Le CERT-FR n'avait pas encore publié d'avis dédié au moment de la rédaction, mais une publication est attendue dans les 48 heures.

Au-delà du correctif lui-même, plusieurs acteurs de la défense recommandent des mesures de mitigation temporaires en attendant le déploiement complet. La désactivation du volet de prévisualisation Outlook neutralise la chaîne d'exploitation pour les utilisateurs à risque. L'ouverture systématique des emails en texte brut (option « Lire tous les courriers standard en texte brut » dans le Centre de gestion de la confidentialité) constitue également une barrière efficace, au prix d'une dégradation de l'expérience utilisateur. Les organisations équipées de Microsoft Defender pour Office 365 peuvent par ailleurs activer les politiques Safe Attachments en mode dynamique pour bloquer les pièces embarquées suspectes.

Du côté des indicateurs de compromission, aucun IoC public n'est encore disponible puisque la faille a été reportée de manière responsable et non observée en exploitation active. Toutefois, les équipes SOC sont invitées à surveiller les processus enfants anormaux issus de WINWORD.EXE et OUTLOOK.EXE, ainsi que les chargements inhabituels de DLL Office par des processus de support. Microsoft a indiqué que la signature de détection sera intégrée à Defender for Endpoint dans les jours qui suivent la publication du correctif.

Pourquoi c'est important

Le précédent de BadWinmail explique l'émotion suscitée par cette nouvelle vulnérabilité. En 2015, la CVE-2015-6172 avait été baptisée « enterprise killer » par son découvreur Haifei Li (déjà lui) précisément parce qu'elle court-circuitait l'ensemble des défenses périmétriques. Un attaquant n'avait besoin que de l'adresse mail d'un dirigeant pour potentiellement compromettre son poste, contourner les pare-feu et les passerelles antimalware, et obtenir un point d'ancrage dans le système d'information. Dix ans plus tard, la promesse est la même, dans un contexte où les courriels frauduleux ont été industrialisés par les fournisseurs de phishing-as-a-service.

Le second élément de poids est la trajectoire d'exploitation prévisible. Les vulnérabilités zero-click dans Office sont historiquement parmi les plus chères du marché du courtage d'exploits, avec des prix dépassant le million de dollars chez des brokers comme Zerodium ou Crowdfense. Une fois rendue publique, la fenêtre d'opportunité pour les attaquants reste large : selon Tenable, le délai moyen entre publication d'un patch Microsoft critique et déploiement complet dans les entreprises françaises oscille entre 45 et 90 jours pour les versions on-premise. Les groupes APT chinois et russes, notoirement friands des chaînes Office, devraient analyser le patch dans la semaine et proposer des armes dérivées d'ici juin 2026.

La dimension réglementaire ajoute une pression supplémentaire. Pour les entités essentielles et importantes au sens de la directive NIS 2, la non-application d'un correctif critique d'Office relève désormais d'un défaut de mesure technique appropriée. L'ANSSI rappelle dans son guide d'hygiène que la gestion des correctifs constitue une mesure de niveau 1, et un incident exploitant une vulnérabilité corrigée depuis plus de trente jours expose les directions à des sanctions administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial. Le RGPD s'invite également dans l'équation pour toute fuite de données personnelles consécutive à une exploitation.

Pour les RSSI, l'épisode rappelle enfin la fragilité structurelle de l'écosystème bureautique Microsoft, où une DLL partagée par plusieurs applications peut faire basculer simultanément les surfaces d'attaque Word, Outlook et Exchange. Les architectures modernes type Zero Trust et la défense en profondeur prennent ici tout leur sens : segmentation des comptes à privilèges, EDR avec règles comportementales, journalisation centralisée des process Office, et plan de remédiation rapide pour les postes de direction. La question n'est plus de savoir si une nouvelle faille Office zero-click apparaîtra, mais quand et avec quel niveau de prédation. La CVE-2026-40361 est l'avertissement parfait pour tester la maturité de son patch management avant qu'un acteur opportuniste ne s'en charge.

Ce qu'il faut retenir

• CVE-2026-40361 est une faille zero-click critique dans Word et Outlook corrigée le 13 mai 2026, héritière directe de BadWinmail (CVE-2015-6172).
• L'exploitation par simple aperçu d'un courriel piégé contourne les défenses périmétriques classiques et expose tous les postes Office.
• Déployer le patch en priorité sur les comptes VIP, désactiver le volet de prévisualisation et activer Safe Attachments en mitigation transitoire.