CVE-2026-32157 : RCE Remote Desktop Client Microsoft

Les faits

Corrigée dans le Patch Tuesday d'avril 2026, la vulnérabilité CVE-2026-32157 est une faille de type use-after-free (CWE-416) dans le client Microsoft Remote Desktop pour Windows Desktop, version 1.2.0.0 et antérieures. L'avis Microsoft Security Response Center (MSRC) la note 8.8 sur l'échelle CVSS v3.1 avec un vecteur AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H : un attaquant non authentifié peut déclencher une exécution de code arbitraire sur la machine cliente dès qu'un utilisateur ouvre une session RDP vers un serveur contrôlé par l'attaquant. La portée est inversée par rapport à la majorité des failles RDP : ce n'est pas le serveur Windows qui est ciblé, mais le poste de travail qui s'y connecte.

La vulnérabilité s'ajoute à un Patch Tuesday d'avril particulièrement chargé (163 CVE corrigées, deux zero-days dont CVE-2026-32201 SharePoint) et à plusieurs RCE critiques côté serveur, notamment CVE-2026-33824 Windows IKE et CVE-2026-33827 Windows TCP/IP IPv6. Le client Remote Desktop est largement déployé sur les postes administrateurs, les bastions IT et les jump hosts, ce qui en fait une cible de choix pour qui cherche à pivoter latéralement après un premier compromis.

Impact et exposition

Pour exploiter CVE-2026-32157, l'attaquant doit convaincre une victime de se connecter à un serveur RDP qu'il contrôle. Plusieurs chaînes d'attaque rendent cette condition triviale en pratique : fichier .rdp envoyé en pièce jointe phishing, lien rdp:// intégré dans un mail ou une page web, manipulation d'entrées dans un gestionnaire de connexions partagé, ou compromission d'un serveur RDP légitime utilisé comme rebond. Une fois le triple-handshake établi, le serveur malveillant déclenche la libération mémoire vulnérable et obtient une exécution de code dans le contexte de l'utilisateur connecté.

Sur un poste administrateur ou un bastion, l'impact est immédiat : le code s'exécute avec les jetons d'authentification Kerberos en cache, les credentials administrateur de domaine et les tickets de session vers les autres serveurs. C'est exactement le scénario favorisé par les opérateurs de ransomware modernes qui cherchent à compromettre la couche d'administration sans alerter les EDR. Aucun signe d'exploitation in-the-wild publique n'a été rapporté à ce jour, mais la combinaison surface client + complexité faible + privilèges étendus fera très probablement émerger un exploit dans les semaines qui viennent.

Recommandations immédiates

• Déployer la mise à jour de sécurité d'avril 2026 du Microsoft Remote Desktop client (Patch Tuesday avril 2026, advisory MSRC CVE-2026-32157)
• Bloquer le trafic RDP sortant depuis les postes utilisateurs et n'autoriser les connexions RDP que vers une liste blanche de bastions internes
• Bloquer l'ouverture des fichiers .rdp reçus par mail dans la passerelle de messagerie et les EDR
• Désactiver les protocoles d'ouverture rdp:// et ms-rd:// dans les navigateurs gérés via GPO/Intune
• Activer l'authentification au niveau réseau (NLA) et exiger l'authentification mutuelle (RDP Restricted Admin / Remote Credential Guard) sur l'ensemble du parc
• Surveiller les processus enfants anormaux de mstsc.exe ou msrdc.exe via les règles EDR