Aller au contenu
Kreomnis.Vigie
← Toutes les analyses

Patch Tuesday de juin 2026 : prioriser comme un attaquant, pas comme un tableur

15/06/2026 · Kreomnis

Le Patch Tuesday de juin 2026 est l'un des plus volumineux de l'histoire du programme : près de 200 vulnérabilités corrigées (les décomptes varient de 198 à 208 selon les sources), dont une trentaine classées critiques par Microsoft. Face à ce mur, la pire stratégie est de traiter la liste comme un tableur trié par CVSS décroissant. Un attaquant, lui, ne lit pas un tableur : il cherche ce qui est pré-auth, sans interaction, exposé et déjà exploité. Voici la même liste, lue dans cet ordre.

Le trio pré-auth 9.8 : à patcher en premier

Trois RCE critiques non authentifiées dominent ce Patch Tuesday. Aucune n'exige d'interaction utilisateur.

CVE-2026-47291 : Windows HTTP.sys (CVSS 9.8)

RCE par dépassement d'entier (integer overflow) dans la pile de protocole HTTP de Windows (http.sys). Un attaquant non authentifié envoie un paquet forgé à un serveur traitant les requêtes via http.sys. Microsoft classe la faille « Exploitation More Likely » : c'est la candidate la plus probable à une weaponisation rapide. http.sys étant au coeur d'IIS et de nombreux services Windows exposés, l'exposition est large.

Mitigation : si le patch doit être différé, Microsoft propose un réglage registre en mesure temporaire. À traiter comme palliatif, jamais comme substitut au correctif.

CVE-2026-45657 : Noyau Windows, RCE wormable (CVSS 9.8)

RCE dans le noyau Windows, exécution avec privilèges SYSTEM, sans interaction utilisateur et sans authentification. Le caractère wormable (auto-propageable) est le signal d'alarme : c'est le profil des grandes vagues type WannaCry / EternalBlue. Priorité maximale sur tout le parc.

CVE-2026-44815 : Windows DHCP Client (CVSS 9.8)

RCE par débordement de tampon sur la pile dans le client DHCP de Windows. Un attaquant opérant un serveur DHCP pirate sur le réseau répond aux requêtes des clients vulnérables avec des données forgées. Vecteur tous endpoints : chaque machine qui sollicite une adresse est une cible. Particulièrement critique sur les réseaux ouverts (wifi d'entreprise, sites distants, environnements partagés).

En encadré : Netlogon déjà exploité

CVE-2026-41089 : Netlogon (contrôleurs de domaine). Débordement de tampon sur la pile au sein des contrôleurs de domaine Windows, donnant potentiellement le contrôle du réseau d'identité de l'entreprise. Donnée pour exploitée depuis le 1er juin : elle ne se discute pas, elle se patche. Un DC compromis, c'est l'Active Directory entier. À traiter au même niveau de priorité que le trio 9.8, exposition interne oblige.

Le cluster endpoint « post-Patch Tuesday »

Au-delà des RCE pré-auth, juin apporte une grappe d'élévations de privilèges et de contournements sur le poste de travail : le terrain de jeu de la post-exploitation. Matière directe pour une règle de détection EDR / HarfangLab.

  • CVE-2026-45585 : BitLocker « YellowKey » (SFB, CVSS 6.8). Contournement de fonctionnalité de sécurité BitLocker, avec un PoC public depuis le 13 mai ; l'environnement de récupération Windows (WinRE) devient surface d'attaque.
  • CVE-2026-45586 : CTFMON « GreenPlasma » (EoP, CVSS 7.8). Élévation via le Collaborative Translation Framework (reconnaissance vocale / manuscrite), aboutissant aux privilèges SYSTEM.
  • CVE-2026-41091 : EoP Windows activement exploité (KEV). Élévation de privilèges au catalogue KEV (ajout le 20 mai), rattachée à la série de zero-days « Nightmare Eclipse / Chaotic Eclipse » et associée à Microsoft Defender. Exploitation confirmée : priorité parc.

Ces trois-là ne donnent pas l'accès initial, mais ils transforment un pied dans la porte en contrôle total du poste. Sur un parc surveillé par EDR, ce sont les comportements à chasser en priorité.

Autres ajouts KEV de juin (hors Microsoft)

Le KEV de la CISA s'est aussi alourdi en juin. Ajouts du 9 juin (échéance fédérale au 23 juin), les plus universels d'abord :

  • CVE-2026-11645 : Google Chromium V8 (CVSS 8.8). Lecture/écriture hors limites dans V8 : RCE dans le bac à sable via une page HTML forgée. Parc navigateurs entier (Chrome, Edge, dérivés Chromium) : le plus universel de la fournée.
  • CVE-2026-20245 : Cisco Catalyst SD-WAN Manager (CVSS 7.8). Exécution de commandes en root par un attaquant authentifié local via un fichier forgé. Brique edge / SD-WAN, donc périmètre.
  • CVE-2026-7473 : Arista EOS (CVSS 6.9). Traitement de trafic de tunnel non configuré (comparaison incomplète). Concerne les coeurs de réseau sous EOS.

À rapprocher des autres dossiers KEV de la quinzaine traités en fiches dédiées : Check Point VPN IKEv1 (CVE-2026-50751), Oracle PeopleSoft (CVE-2026-35273), Exchange / OWA (CVE-2026-42897), Trend Micro Apex One (CVE-2026-34926), Magento Mirasvit (CVE-2026-45247), ainsi que l'HTTP/2 Bomb côté Windows (CVE-2026-49160) et l'élévation noyau Linux (CVE-2026-46333).

Synthèse : priorisation de la remédiation

| Priorité | CVE | Composant | Pourquoi en premier | | --- | --- | --- | --- | | 1 | CVE-2026-41089 | Netlogon (DC) | Exploité, contrôle de l'AD | | 1 | CVE-2026-45657 | Noyau Windows | RCE 9.8 wormable, SYSTEM, sans interaction | | 1 | CVE-2026-47291 | HTTP.sys | RCE 9.8 pré-auth, « Exploitation More Likely » | | 1 | CVE-2026-50751 | Check Point VPN | Bypass auth exploité (Qilin), KEV | | 1 | CVE-2026-35273 | Oracle PeopleSoft | Auth manquante 9.8 exploitée (ShinyHunters) | | 2 | CVE-2026-44815 | DHCP Client | RCE 9.8 pré-auth, tous endpoints | | 2 | CVE-2026-41091 | EoP Windows | Exploité, KEV | | 2 | CVE-2026-11645 | Chromium V8 | RCE navigateur, KEV, parc universel | | 3 | CVE-2026-45586 | CTFMON | EoP vers SYSTEM | | 3 | CVE-2026-45585 | BitLocker | Contournement, PoC public | | 3 | CVE-2026-49160 | HTTP/2 (Windows) | DoS, mitigation registre |

(Les fiches CVE liées détaillent mécanique, remédiation et chasse à la compromission.)

Trois réflexes pour ne pas patcher comme un tableur

  1. Le statut d'exploitation prime sur le CVSS. Un Netlogon « moins bien scoré » mais exploité passe devant un 9.8 théorique. KEV et « Exploitation More Likely » sont vos premiers filtres, pas la colonne CVSS.
  2. Pré-auth + sans interaction + exposé = bord de la file. HTTP.sys, le noyau wormable, le DHCP Client et les bypass VPN se patchent avant tout ce qui demande un clic ou un compte.
  3. N'oubliez pas la post-exploitation. Les EoP poste de travail (CTFMON, BitLocker, Defender) ne donnent pas l'accès initial mais décident de son issue. Couvrez-les par la détection EDR pendant que le patch se déploie.

Sources

Avis Microsoft (MSRC, Security Update Guide de juin 2026), CISA KEV, et publications de threat intelligence (Tenable, Talos, Zero Day Initiative, CrowdStrike, ThreatLocker). Vérifier les builds corrigées exactes dans les avis éditeurs pour votre matrice de déploiement avant remédiation.

  • Kreomnis
#patch-tuesday#microsoft#kev#priorisation#panorama