En bref

  • CVE-2026-33824 : double-free dans ikeext.dll permettant une RCE non authentifiée sur le service IKEv2 (CVSS 9.8).
  • Toutes les versions supportées de Windows et Windows Server (de Windows 10 à Server 2025) sont concernées dès qu'IKEv2 est activé.
  • Patcher immédiatement (correctif Patch Tuesday avril 2026) ou bloquer UDP 500 et 4500 en bordure tant que la mise à jour n'est pas déployée.

Les faits

La Zero Day Initiative a publié le 22 avril 2026 l'analyse technique détaillée de CVE-2026-33824, une vulnérabilité de type double-free (CWE-415) dans la bibliothèque ikeext.dll, le moteur des extensions du service Windows Internet Key Exchange. Le score CVSS 3.1 atteint 9.8 (vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) et Microsoft classe la faille comme « Exploitation More Likely » dans son advisory d'avril 2026.

La cause racine se situe dans le réassemblage des fragments IKE_AUTH chiffrés (payloads SKF). Une mauvaise gestion de propriété d'un blob heap-alloué provoque la libération deux fois du même pointeur lorsqu'un attaquant envoie un IKE_SA_INIT suivi d'au moins deux fragments contenant un message IKE_AUTH invalide. La séquence est entièrement non authentifiée, sans interaction utilisateur, et pleinement déclenchable via UDP 500 ou 4500 (NAT-T).

Le caractère « wormable » a été confirmé par plusieurs analyses, dont celles de Sentrium et CrowdStrike : un attaquant peut viser des hôtes IKE adjacents en chaîne, sans intervention humaine, ce qui rappelle les schémas BlueKeep et SMBGhost. Aucun cas d'exploitation publique en masse n'a été observé au 28 avril 2026, mais la simplicité du vecteur réseau rend l'apparition d'un PoC fonctionnel plausible à très court terme.

Impact et exposition

L'exploitation aboutit à une exécution de code dans le contexte du service IKEEXT, qui tourne en NT AUTHORITY\SYSTEM. L'attaquant prend donc le contrôle complet du système : extraction de matériel cryptographique LSASS, désactivation d'EDR, persistance via tâches planifiées ou rootkit kernel. La surface d'attaque inclut tous les concentrateurs VPN IPsec Windows, les passerelles RAS, les serveurs DirectAccess et tout poste utilisateur exposant IKEv2 (par exemple via Always On VPN).

Les organisations exposant directement UDP 500/4500 sur Internet sont les premières concernées, mais les bastions internes, hyperviseurs et pare-feu Windows tournés vers le LAN sont tout aussi vulnérables si IKEv2 est activé. Selon Shodan et plusieurs trackers communautaires, plus de 200 000 endpoints Windows exposent ces ports publiquement.

Recommandations immédiates

  • Déployer en priorité absolue les mises à jour cumulatives Microsoft d'avril 2026 sur tous les serveurs et postes Windows (advisory MSRC CVE-2026-33824).
  • Si le patch ne peut être appliqué immédiatement, bloquer UDP 500 et 4500 entrants au pare-feu, ou restreindre les sources autorisées à une liste de pairs IPsec connus.
  • Désactiver le service IKEEXT (« IKE and AuthIP IPsec Keying Modules ») sur les hôtes qui n'ont pas besoin d'IPsec ou IKEv2.
  • Surveiller les crashs récurrents du service IKEEXT et les paquets IKE_SA_INIT suivis de fragments SKF anormaux côté NDR.
  • Auditer l'exposition externe via un scan Nmap UDP 500/4500 pour cartographier les actifs concernés.

⚠️ Urgence

CVE-2026-33824 est un candidat sérieux pour devenir le prochain ver Windows. Tant que le patch n'est pas déployé, considérer tout hôte IKEv2 exposé comme compromettable en quelques minutes par un attaquant disposant d'un PoC fiable.

Comment savoir si je suis vulnérable ?

Sur chaque hôte Windows, vérifier la version de ikeext.dll dans C:\Windows\System32. Toute version antérieure aux correctifs cumulés d'avril 2026 est concernée. Côté réseau, lancer « nmap -sU -p 500,4500 » sur les plages publiques pour identifier les services IKE exposés, puis croiser avec l'inventaire OS (KB installés via wmic qfe ou Get-HotFix).

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit