CVE-2026-41096 : RCE Windows DNS Client (CVSS 9.8)

Les faits

Microsoft a publié le 12 mai 2026 un correctif pour la vulnérabilité CVE-2026-41096, un débordement de tampon en tas (heap-based buffer overflow) affectant le composant DNS Client de Windows. Le MSRC attribue à cette faille un score CVSS v3.1 de 9.8 avec un vecteur AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, qualifiant ainsi la criticité maximale tant en confidentialité qu'en intégrité et disponibilité. La vulnérabilité est exploitable à distance, sans authentification, et sans interaction utilisateur — un attaquant en position d'influencer les réponses DNS reçues par un système Windows peut déclencher une exécution de code arbitraire dans le contexte du service Network Service.

Le service DNS Client (dnscache) est un composant fondamental de tout système Windows : il assure la résolution des noms de domaine pour l'ensemble des applications utilisateur, du navigateur aux clients de messagerie, en passant par les services système d'Active Directory, Windows Update, et la télémétrie. Son omniprésence en fait une cible à très large surface d'attaque : chaque poste Windows en réseau exécute le DNS Client en permanence, et toute réponse DNS reçue depuis un serveur de résolution est traitée par ce composant. La faille se situe précisément dans le code de désérialisation des structures de réponse DNS, où une longueur de champ déclarée supérieure à la taille réelle des données provoque une écriture hors limites dans le tas du processus.

D'après les analyses publiées par Tenable, Rapid7 et Zero Day Initiative, le scénario d'attaque type implique un serveur DNS contrôlé par l'attaquant — soit directement (résolveur malveillant), soit indirectement par empoisonnement de cache ou interception en man-in-the-middle. Lorsqu'un client Windows émet une requête DNS dont la résolution finale est servie par le serveur de l'attaquant, ce dernier répond avec une réponse spécialement forgée contenant des champs de longueur incohérente. Le DNS Client copie alors ces données dans un buffer en tas dimensionné selon la longueur déclarée, et l'écriture excessive corrompt les structures de heap voisines, permettant à terme un détournement du flot d'exécution.

Contrairement à CVE-2026-41089 qui ne cible que les contrôleurs de domaine, CVE-2026-41096 affecte la totalité du parc Windows en exploitation : Windows 10 (toutes versions supportées), Windows 11 (23H2, 24H2, 25H2), Windows Server 2012, 2012 R2, 2016, 2019, 2022 et 2025. Les éditions Server Core et IoT Enterprise sont également concernées dès lors que la résolution DNS y est active. Selon les estimations de Microsoft, plus d'un milliard de systèmes dans le monde exécutent un service DNS Client vulnérable à la date du 12 mai 2026, ce qui en fait l'une des CVE à plus large surface d'attaque publiées en 2026.

L'exécution de code s'effectue dans le contexte de Network Service, un compte de service Windows aux privilèges intermédiaires entre LocalService et LocalSystem. Bien que moins privilégié que SYSTEM, Network Service dispose néanmoins de capacités significatives : accès au réseau via le compte machine, lecture de certaines clés de registre sensibles, et — point critique — capacité à émettre des authentifications NTLM ou Kerberos au nom de l'ordinateur. Un attaquant ayant obtenu RCE en Network Service peut donc enchaîner avec des attaques de relais NTLM (PetitPotam, PrinterBug) ou des techniques d'escalade locale documentées contre Network Service pour obtenir SYSTEM en quelques minutes.

Microsoft classe l'exploitation comme « less likely » à la date de publication, en s'appuyant sur les mitigations modernes du heap Windows (Low Fragmentation Heap, Guard Pages, Heap Randomization) et sur la difficulté de prédire avec fiabilité la disposition mémoire d'un processus client distant. Néanmoins, l'historique des vulnérabilités DNS Windows — notamment SIGRed (CVE-2020-1350) côté serveur et plusieurs CVE Client patchées entre 2022 et 2025 — démontre que ces protections ne suffisent pas à empêcher la dérivation d'exploits stables par des chercheurs aguerris dans les semaines suivant la publication.

Aucun PoC public n'est disponible au 13 mai 2026 et aucune exploitation in-the-wild n'a été confirmée. Le bulletin d'actualité CERTFR-2026-ACT-021 du 11 mai 2026 mentionne les correctifs Microsoft du mois dans les publications prioritaires, sans citer nommément CVE-2026-41096. NVD/NIST a publié la fiche complète le 12 mai 2026 avec la classification finale CVSS 9.8. Le bulletin Microsoft de référence est l'advisory du Patch Tuesday de mai 2026, distribué via Windows Update et le Microsoft Update Catalog sous différents KB selon la version Windows ciblée.

Plusieurs sources d'analyse — BleepingComputer, CSO Online, ZDI, Talos — soulignent que cette CVE constitue, avec CVE-2026-41089 (Netlogon) et les RCE Microsoft Office traitées dans le même Patch Tuesday, le trio prioritaire de mai 2026. La position unique de CVE-2026-41096 sur le terrain de la surface d'attaque — chaque poste Windows en réseau — la rend particulièrement préoccupante pour les organisations exposant des utilisateurs à des résolveurs DNS non maîtrisés (réseaux invités, télétravail, BYOD).

Impact et exposition

L'exposition est massive et concerne pratiquement toutes les organisations utilisant des postes Windows. Tout système Windows en réseau émettant des requêtes DNS — soit l'intégralité du parc, du poste utilisateur jusqu'aux serveurs back-end — est vulnérable tant que le correctif n'est pas appliqué. L'impact dépend de la position de l'attaquant : un acteur capable de contrôler ou d'empoisonner un résolveur DNS (réseau public Wi-Fi, captive portal hostile, MitM via DHCP spoofing) peut compromettre n'importe quel client Windows se connectant à ce réseau.

Les scénarios d'exploitation in-the-wild les plus probables sont : ciblage d'utilisateurs en télétravail via réseaux Wi-Fi publics, attaques de drive-by depuis un site web contrôlé qui force des résolutions DNS vers un serveur malveillant via WebSocket ou WebRTC, et compromission de résolveurs DNS d'entreprise mal sécurisés. Le scénario le plus catastrophique reste la compromission par un acteur étatique d'un opérateur DNS public ou d'un fournisseur cloud, permettant l'exploitation à grande échelle de tous les clients résolvant via ce service.

Aucune exploitation active n'est confirmée à la date du 13 mai 2026, mais la combinaison d'une surface d'attaque maximale et d'un vecteur sans interaction utilisateur impose un patching prioritaire. La fenêtre d'opportunité avant apparition d'un exploit public est estimée par les chercheurs entre une et quatre semaines, selon la complexité réelle de l'exploitation du heap moderne sur Windows 11. Les organisations dont une partie du parc fonctionne en télétravail ou utilise des connexions cellulaires (4G/5G) sans VPN tunnelisant le DNS sont particulièrement à risque.

La surface d'attaque potentielle dépasse celle de la quasi-totalité des CVE publiées en 2026 : plus d'un milliard de systèmes Windows exécutant un service DNS Client, des centaines de millions exposés à des résolveurs non maîtrisés. La criticité s'accroît encore pour les environnements où les contrôleurs de domaine ou serveurs critiques résolvent des noms externes via des forwarders potentiellement intercepté par l'attaquant.

Recommandations immédiates

• Appliquer immédiatement le correctif du Patch Tuesday Microsoft de mai 2026 (12 mai 2026) sur l'ensemble du parc Windows — postes utilisateurs et serveurs, y compris VDI et hôtes Hyper-V — référencé par l'advisory MSRC associé à CVE-2026-41096.
• Forcer la résolution DNS via DoH (DNS over HTTPS) ou DoT (DNS over TLS) avec des serveurs maîtrisés (résolveur interne, Cloudflare 1.1.1.1, Quad9) pour éliminer les vecteurs MitM sur les réponses DNS.
• Bloquer le trafic DNS sortant (UDP/TCP 53) vers tout serveur autre que les résolveurs autorisés via règles firewall périmétriques et Group Policy Windows Firewall sur les postes.
• Pour les flottes mobiles et télétravail, imposer un VPN d'entreprise avec tunnel forcé de la résolution DNS (split-tunnel désactivé sur DNS).
• Surveiller les événements Windows DNS Client (Event Log Microsoft-Windows-DNS-Client/Operational) et alerter sur les pics de réponses DNS malformées ou non sollicitées.
• Déployer un EDR avec règles dédiées à la détection d'exploitation du DNS Client (corruption heap, comportement anormal du processus dnscache).