CVE-2026-45657 : RCE Windows Kernel CVSS 9.8, Patch Tuesday juin 2026

Les faits

Le 9 juin 2026, Microsoft a publie son Patch Tuesday mensuel, qui entre dans l'histoire comme la mise a jour de securite la plus volumineuse jamais publiee par l'editeur, avec 198 a 208 CVE corrigees selon les decomptes. SecurityWeek titre « Microsoft Patches 200 Vulnerabilities », Security Affairs parle de « Record-Breaking Patch Tuesday With 208 CVEs ». Parmi ces correctifs, CVE-2026-45657 se distingue par sa criticite extreme : il s'agit d'une vulnerabilite de type use-after-free dans le sous-systeme TCP/IP du noyau Windows, qui permet a un attaquant distant non authentifie d'executer du code arbitraire au niveau SYSTEM, sans aucune interaction de la part de l'utilisateur cible. Cisco Talos, ZDI et Tenable s'accordent a la classer parmi les correctifs prioritaires de cette vague record.

CVE-2026-45657 recoit un score CVSS 3.1 de 9.8 (Critique), avec un vecteur d'attaque reseau (AV:N), aucune complexite d'attaque (AC:L), aucun privilege requis (PR:N) et aucune interaction utilisateur (UI:N). Ces parametres sont particulierement alarmants : toute machine Windows exposee sur un reseau IP accessible -- Internet ou intranet -- peut etre ciblee par un simple flux de paquets reseau malveillants. Une exploitation reussie donne a l'attaquant le controle total du systeme au niveau du noyau (SYSTEM privileges), le niveau de privilege le plus eleve possible sur Windows, permettant de desactiver les protections de securite, d'installer des backdoors persistantes et de compromettre l'ensemble du systeme.

Techniquement, la vulnerabilite est une use-after-free dans le traitement de certains segments TCP par le noyau Windows. Une use-after-free se produit lorsqu'un programme continue d'utiliser un pointeur vers une zone memoire qui a deja ete liberee, permettant a un attaquant de controler le contenu de cette memoire au moment de sa reutilisation. Dans le contexte du noyau, cela conduit a une execution de code arbitraire avec les privileges du ring 0. Selon la documentation technique publiee par ZDI dans son review du Patch Tuesday juin 2026, la faille se declenche lors du traitement de donnees TCP/IP specifiquement construites, sans necessiter d'etat prealable de la connexion reseau.

Au moment de la publication du patch, Microsoft indique que CVE-2026-45657 n'est pas encore exploitee dans la nature et n'avait pas ete divulguee publiquement. Ces deux facteurs sont temporairement favorables. Cependant, la communaute de securite offensive est unanime : chaque chercheur equipe d'un desassembleur analyse ce patch en ce moment meme. L'analyse differentielle (patch diffing) entre les binaires pre et post-patch est une technique standard qui permet d'identifier precisement la ligne de code corrigee et de reconstruire l'exploit. Pour une faille avec ces caracteristiques (reseau, sans auth, noyau), le delai typique entre la publication d'un patch et l'apparition d'un exploit fonctionnel varie de quelques jours a quelques semaines selon les experts de ZDI.

Le Patch Tuesday de juin 2026 comprend egalement trois vulnerabilites zero-day divulguees avant le patch. CVE-2026-49160 est une vulnerabilite de deni de service dans HTTP.sys liee a l'attaque HTTP/2 Bomb -- des chercheurs de la firme Calif ont decouverte qu'il est possible d'envoyer une tres petite quantite de donnees qui force le serveur a allouer une memoire disproportionnee, causant un crash (CVSS 7.5, divulguee avant patch, Exploitation More Likely selon Microsoft). CVE-2026-50507 est un contournement de BitLocker baptise YellowKey, exploitable par acces physique via une cle USB ou la partition EFI pour acceder a des donnees chiffrees depuis le Windows Recovery Environment -- divulgue par le chercheur Nightmare Eclipse avant le patch (CVSS 6.8).

Ce Patch Tuesday comprend egalement CVE-2026-47291, une seconde RCE dans HTTP.sys avec un score CVSS 9.8 identique a CVE-2026-45657, vecteur reseau, sans authentification. Ces deux vulnerabilites kernel/HTTP.sys a CVSS 9.8 constituent des priorites absolues dans les plans de patching de juin 2026. D'apres l'analyse de Cisco Talos publiee dans son blog Patch Tuesday juin 2026, des regles Snort dediees a la detection de tentatives d'exploitation de ces deux CVE ont ete publiees et sont telechargeables via le portail Talos Intelligence.

Les systemes Windows affectes par CVE-2026-45657 incluent Windows 11 dans toutes ses versions recentes (23H2, 24H2, 25H2 et 26H1) ainsi que Windows Server 2022 et Windows Server 2025, y compris les installations Server Core. Les packages de mise a jour cumulatifs sont : KB5094126 pour Windows 11 24H2 et 25H2, KB5093998 pour Windows 11 23H2, KB5094125 pour Windows Server 2025, et KB5094128 pour Windows Server 2022. Ces packages sont disponibles via Windows Update, WSUS, Windows Update for Business et le Microsoft Update Catalog. La description complete de CVE-2026-45657 est accessible sur le Security Update Guide de Microsoft (MSRC).

Le caractere record de ce Patch Tuesday illustre la complexite croissante de la surface d'attaque Windows en 2026. Cette accumulation sans precedent s'explique en partie par l'integration de nouveaux composants IA dans Windows 11 26H1 (Copilot+ features) qui elargissent la surface d'attaque. Les administrateurs systeme doivent prioriser CVE-2026-45657 et CVE-2026-47291 comme correctifs d'urgence, independamment du cycle mensuel habituel. Les environnements hybrides Cloud-On-Premise presentent une double exposition, Microsoft Azure mettant a jour automatiquement les VMs managees mais les instances IaaS sous controle client necessitant une intervention manuelle.

Impact et exposition

La surface d'attaque de CVE-2026-45657 est massivement large. Tout systeme Windows 11 ou Windows Server 2022/2025 expose sur un reseau IP, qu'il s'agisse d'Internet ou d'un reseau interne d'entreprise, est potentiellement vulnerable. Dans un contexte d'entreprise, les controleurs de domaine Active Directory, les serveurs de fichiers, les serveurs RDS et les serveurs d'applications sont particulierement exposes. La compromission d'un controleur de domaine via une RCE kernel permet a un attaquant d'atteindre le niveau SYSTEM, puis de pivoter vers une elevation de privileges complete sur le domaine Active Directory (DCSync, Golden Ticket).

Les entreprises qui maintiennent des politiques de patching mensuelles calees sur le Patch Tuesday disposent d'une fenetre d'exposition entre le 9 juin 2026 et leur prochain cycle de deploiement. Pour CVE-2026-45657, ce delai doit etre reduit au minimum. Les equipes securite doivent reclasser cette CVE en urgence critique et declencher un patch d'urgence hors cycle si necessaire. Les fournisseurs MSP et MSSP gerant des parcs Windows pour leurs clients doivent egalement prioriser ce correctif dans leurs tableaux de bord de gestion des vulnerabilites.

Les environnements Cloud Public beneficient generalement de mecanismes de patching automatique, mais les machines virtuelles gerees par le client (IaaS) necessitent une action manuelle. Les conteneurs Windows bases sur des images non mises a jour sont egalement vulnerables si la faille reside dans la pile TCP/IP du noyau de la VM sous-jacente. La priorite doit etre donnee aux systemes exposes directement sur Internet : serveurs web IIS (qui utilisent HTTP.sys), serveurs RDP, serveurs de fichiers SMB accessibles depuis l'exterieur.

En l'absence d'exploitation in-the-wild confirmee au 9 juin 2026, le niveau d'urgence est temporairement limite par l'absence d'exploit public. Cependant, la nature reseau de la faille et la disponibilite immediate du patch pour la retro-ingenierie signifient que cette fenetre de protection est extremement courte. Certains experts de ZDI estiment qu'un exploit fonctionnel pourrait apparaitre publiquement dans les 48 a 72 heures suivant la publication du patch, ce qui rend le deploiement d'urgence indispensable.

Recommandations immediates

• Appliquer KB5094126 sur Windows 11 24H2/25H2, KB5093998 sur Windows 11 23H2, KB5094125 sur Windows Server 2025, KB5094128 sur Windows Server 2022 -- Microsoft Security Advisory CVE-2026-45657 (MSRC)
• Prioriser le patching des systemes exposes sur Internet : serveurs IIS, RDP, SMB, controleurs de domaine accessibles depuis plusieurs segments reseau
• Appliquer egalement le patch pour CVE-2026-47291 (HTTP.sys RCE, CVSS 9.8) qui partage le meme niveau de criticite dans ce Patch Tuesday
• Activer les regles de detection Cisco Talos Snort publiees pour ce Patch Tuesday en attendant le deploiement complet des patches
• Verifier le statut de mise a jour des VM Windows dans les environnements IaaS cloud -- les instances non gerees ne se patchent pas automatiquement
• Pour CVE-2026-49160 (HTTP/2 Bomb) : limiter ou desactiver HTTP/2 sur les serveurs IIS exposes si la mise a jour est retardee par des contraintes operationnelles