Patch Tuesday juin 2026 : 206 failles dont un RCE noyau Windows CVSS 9.8 wormable

Les faits

Le 9 juin 2026, Microsoft a publié son bulletin mensuel Patch Tuesday en corrigeant un nombre record de 206 vulnérabilités réparties à travers Windows, Office, Azure, Exchange Server, .NET, SharePoint, Visual Studio et Hyper-V. Ce volume surpasse le précédent record de 195 correctifs d'avril 2026. Parmi les 206 corrections, 37 vulnérabilités sont classées Critiques, 3 sont des zero-days publiquement divulgués avant la publication du correctif, et au moins deux failles présentent un profil dit « wormable » — une qualification technique signifiant qu'elles permettraient une autopropagation automatique d'un système à un autre sans interaction humaine, à l'image d'EternalBlue qui avait alimenté l'épidémie WannaCry de 2017.

CVE-2026-45657 — Exécution de code à distance dans le noyau Windows, CVSS 9,8

CVE-2026-45657 est la vulnérabilité la plus préoccupante de ce Patch Tuesday. Elle résulte de deux défauts complémentaires dans le sous-système TCP/IP du noyau Windows : un use-after-free (CWE-416) combiné à un heap-based buffer overflow (CWE-122). Un attaquant distant non authentifié peut envoyer des paquets TCP/IP spécialement forgés pour déclencher une exécution de code arbitraire au niveau SYSTEM — le niveau de privilège maximum du système — sans aucune interaction utilisateur. Toutes les versions supportées de Windows 11 (22H2, 23H2, 24H2) et de Windows Server (2019, 2022, 2025) sont concernées.

Les chercheurs du Zero Day Initiative (ZDI) de Trend Micro, qui ont découvert et signalé la faille, confirment que son vecteur d'attaque est identique à celui d'EternalBlue : aucune authentification requise, aucune interaction utilisateur, accès réseau seul suffisant. C'est la définition technique exacte d'une faille wormable. Microsoft déclare, à la date de publication du bulletin, ne pas avoir connaissance d'exploitation active dans la nature ni de proof-of-concept public, mais la divulgation coordonnée augmente le risque d'exploitation dans les prochains jours.

CVE-2026-47291 — Exécution de code à distance dans HTTP.sys, CVSS 9,8

CVE-2026-47291 affecte HTTP.sys, le pilote noyau Windows responsable du traitement du protocole HTTP, utilisé par Internet Information Services (IIS), Windows Remote Management (WinRM), l'API REST d'Azure Arc, et de nombreux autres services Windows exposés sur le réseau. La faille combine un integer overflow (CWE-190) et un heap-based buffer overflow (CWE-122) dans le traitement des requêtes HTTP entrantes : un attaquant envoie des requêtes spécialement construites sans authentification ni interaction utilisateur pour exécuter du code à distance.

Microsoft évalue l'exploitation de CVE-2026-47291 comme « plus probable » que celle de CVE-2026-45657. Un point relevé par CrowdStrike : les systèmes dont le tampon HTTP est configuré à la valeur par défaut de 16 384 octets ne seraient pas affectés — la valeur minimale sécurisée étant fixée à 65 534 octets. Cisco Talos a publié des règles Snort spécifiques (SID 65223 et SID 65224) pour détecter les tentatives d'exploitation de cette faille sur les équipements IDS/IPS de périmètre.

Autres vulnérabilités notables

Le bulletin inclut également CVE-2026-44815 (CVSS 9,0, pile TCP/IP Windows, RCE conditionnel), CVE-2026-42904 (CVSS 8,8, client DHCP Windows, élévation de privilèges locale), et CVE-2026-45602 (CVSS 8,1, contournement d'authentification dans Windows Remote Desktop Services). Les 3 zero-days corrigés concernent Microsoft Office (divulgation d'informations), Windows MSHTML (contournement Mark-of-the-Web), et le planificateur de tâches Windows (élévation de privilèges locale). Selon une estimation de Rapid7, plus de 2,1 millions de serveurs Windows sont directement accessibles depuis Internet et potentiellement exposés à CVE-2026-47291 via HTTP.sys. Ce chiffre exclut les expositions internes sur des réseaux d'entreprise non segmentés, où le profil wormable de CVE-2026-45657 présente le risque de propagation latérale le plus élevé.

Windows Server 2016 est également concerné par CVE-2026-45657. Windows Server 2012 R2, dont le support ESU prend fin en octobre 2026, ne reçoit pas de correctif pour ce bulletin et reste définitivement vulnérable s'il n'est pas migré vers une version supportée. À titre de comparaison, lors de l'épidémie WannaCry de 2017, EternalBlue avait compromis plus de 300 000 machines dans 150 pays en moins de 72 heures depuis sa mise en exploitation active — un scénario dont CVE-2026-45657 partage le profil technique selon le ZDI.

Impact et exposition

CVE-2026-45657 affecte tous les systèmes Windows 11 et Windows Server 2019/2022/2025 connectés à un réseau. Son profil wormable signifie qu'un seul système compromis peut propager automatiquement l'attaque vers tous les autres systèmes Windows vulnérables du même segment réseau. Dans un environnement d'entreprise sans segmentation réseau appropriée, un serveur exposé sur Internet pourrait suffire à compromettre l'ensemble du parc Windows en quelques minutes. CVE-2026-47291 cible plus spécifiquement les serveurs exposant des services HTTP : IIS, Exchange OWA, passerelles WinRM. Les serveurs directement accessibles depuis Internet sans pare-feu applicatif (WAF) ou load balancer filtrant les requêtes malformées sont les plus exposés.

Recommandations

• Déployer immédiatement les mises à jour Patch Tuesday de juin 2026 : KB5058545 (Windows 11 24H2), KB5058499 (Windows Server 2022), KB5058392 (Windows Server 2019)
• Prioriser les serveurs IIS, Exchange, RDS et tout système exposant HTTP sur Internet pour CVE-2026-47291
• Si le déploiement immédiat est impossible, bloquer temporairement le trafic TCP entrant sur les ports 80/443 vers les serveurs IIS non critiques
• Déployer les règles Snort de Cisco Talos (SID 65223, SID 65224) sur les équipements IDS/IPS périmétriques
• Auditer la segmentation réseau pour limiter la propagation latérale potentielle de CVE-2026-45657 — en particulier entre les VLAN utilisateurs et les VLAN serveurs