CVE-2026-42898 : Dynamics 365 on-prem ouvert à toute identité (CVSS 9.9)

Les faits

Microsoft a publié le 12 mai 2026 le correctif pour CVE-2026-42898, une vulnérabilité d'injection de code dans Microsoft Dynamics 365 on-premises notée CVSS 9.9. La faille permet à un utilisateur authentifié, quel que soit son niveau de privilège, d'exécuter du code arbitraire sur le serveur Dynamics CRM via la manipulation de l'état sauvegardé d'une session de processus. Le code s'exécute avec un changement de scope qui élève les privilèges à ceux du compte de service Dynamics, généralement très exposé sur le réseau interne.

L'avis Microsoft Security Response Center (MSRC) précise que l'exploitation s'effectue sur le réseau, ne requiert aucune interaction utilisateur et ne nécessite pas non plus d'élévation préalable. Un compte standard de Dynamics, du type que de nombreuses entreprises distribuent à leurs commerciaux ou agents support, suffit à déclencher la chaîne. Cette caractéristique fait de CVE-2026-42898 l'une des vulnérabilités à plus fort potentiel d'abus interne du Patch Tuesday de mai 2026, où Microsoft a corrigé un total de 137 CVE selon les comptages cumulés de SC Media et ZDI, dont une trentaine considérées critiques.

Le mécanisme exact n'a pas été publié dans le détail mais les analyses de Talos et CrowdStrike pointent vers une désérialisation insuffisamment contrôlée de l'état de session côté serveur. En d'autres termes, lorsque Dynamics CRM stocke temporairement le contexte d'exécution d'un workflow ou d'un plugin, un attaquant peut altérer ce contexte avant qu'il ne soit restauré, et y injecter une charge utile qui sera exécutée à la réhydratation. Le pattern rappelle les classes de bugs déjà documentées sur SharePoint et Exchange ces dernières années.

Microsoft note dans son advisory que les versions affectées couvrent Dynamics 365 on-premises 9.0 et 9.1, dans toutes les variantes (Sales, Customer Service, Field Service, Marketing). La version cloud Dynamics 365 Online n'est pas concernée, Microsoft ayant déployé le correctif côté plateforme avant la divulgation publique. Cette distinction est importante : les organisations restées sur du on-premises pour des raisons de souveraineté ou de personnalisation supportent désormais une dette de sécurité que les clients SaaS ne portent plus.

Dynamics 365 on-premises héberge typiquement des données clients sensibles : pipelines commerciaux, contrats, échanges avec les comptes stratégiques, parfois données financières et de facturation. Un RCE sous le compte de service donne accès direct à la base SQL Server sous-jacente, à l'Active Directory de l'organisation via les délégations Kerberos configurées pour Dynamics, et peut servir de tête de pont pour un déplacement latéral vers SharePoint ou Exchange si ces produits sont fédérés. Les analystes Vulert ont qualifié la CVE de "high-value target" pour les équipes red team comme pour les attaquants opportunistes.

Le contexte global du Patch Tuesday de mai 2026 est notable : pour la première fois en presque deux ans, Microsoft n'a inclus aucune correction de zero-day exploité activement, comme l'a souligné BleepingComputer. Cette accalmie ne doit pas faire baisser la garde sur les autres CVE critiques du lot, en particulier CVE-2026-41096 (Windows DNS Client RCE), CVE-2026-41089 (Netlogon domain controller RCE) ou les quatre RCE Word documentées. Mais c'est bien CVE-2026-42898 qui combine la plus forte note CVSS et le plus faible niveau de prérequis d'exploitation.

Krebs on Security et Dark Reading ont également signalé que la fenêtre entre patch et exploitation à grande échelle s'est nettement raccourcie sur les produits Microsoft d'entreprise depuis 2025. Les équipes RSSI doivent désormais raisonner en heures et non plus en semaines pour déployer les correctifs sur Dynamics, SharePoint et Exchange, sous peine de voir leurs serveurs scannés par des outils automatisés cherchant les versions non patchées via les bannières publiques.

Une question subsidiaire émerge : combien de déploiements Dynamics 365 on-premises restent encore en service en France et en Europe en 2026 ? Sans recensement officiel, les estimations sectorielles évoquent plusieurs centaines d'instances en France, principalement dans les secteurs public, défense, et finances, où les contraintes de souveraineté ont retardé la migration cloud. Ces cibles, par construction sensibles, sont précisément celles qui intéressent les acteurs étatiques.

Impact et exposition

Toute organisation exploitant Microsoft Dynamics 365 on-premises versions 9.0 ou 9.1 est concernée. Le prérequis d'authentification est trivial à satisfaire dans la pratique : tout utilisateur métier interne, partenaire externe disposant d'un compte Dynamics, ou attaquant ayant phishé un compte standard peut déclencher l'exploitation. Le risque combiné de fuite de données clients, d'élévation vers Active Directory et de mouvement latéral en fait une priorité absolue.

Recommandations

• Appliquer immédiatement les correctifs Microsoft du Patch Tuesday de mai 2026 pour Dynamics 365 on-premises 9.0 et 9.1.
• Auditer les comptes de service Dynamics : restreindre leurs privilèges, désactiver les délégations non strictement nécessaires.
• Activer la journalisation détaillée des plugins et workflows Dynamics et l'envoyer vers le SIEM pour détection comportementale.
• Revoir les politiques de provisionnement d'utilisateurs : limiter les comptes Dynamics aux personnes réellement actives, désactiver les anciens accès partenaires.
• Envisager sérieusement la migration vers Dynamics 365 Online si la posture sécurité on-premises ne peut être tenue.