Record 622 correctifs : que faire face aux deux failles zero-day activement exploitées de Microsoft ?
Églantine Montclair
Microsoft a publié son Patch Tuesday le plus conséquent de l’histoire, avec 622 vulnérabilités corrigées. Ce chiffre triple le précédent record de juin. Parmi ces correctifs, deux failles zero-day sont activement exploitées par des attaquants. Pour les équipes de cybersécurité françaises, ce volume inédit pose un défi de priorisation immédiat.
Ces deux failles activement exploitées ciblent des composants critiques d’infrastructure. La première (CVE-2026-56164) touche SharePoint Server sur site, la seconde (CVE-2026-56155) concerne Active Directory Federation Services (AD FS). Toutes deux sont des élévations de privilèges. Aucune n’est une exécution de code à distance spectaculaire, mais leur impact potentiel sur la sécurité des systèmes d’information justifie une attention prioritaire.
Les deux zero-day à corriger en priorité
CVE-2026-56164 : la faille SharePoint Server
Cette vulnérabilité permet à un attaquant non authentifié d’élever ses privilèges sur le réseau, sans interaction utilisateur. Microsoft crédite les équipes d’intervention de Mandiant et l’équipe FLARE de Google, ce qui suggère une découverte lors d’attaques actives. Aucune information n’a été communiquée sur la méthode d’exploitation ou les auteurs.
Pour les organisations utilisant SharePoint Server auto-hébergé, cette faille est prioritaire. Un élément temporel critique s’ajoute : le 15 juillet 2026 marque la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, ces versions ne bénéficient pas de programme ESU (Extended Security Updates) payant. Les serveurs non migrés deviennent donc orphelins de correctifs.
“SharePoint est devenu une cible de choix pour les attaquants depuis la chaîne ToolShell qui a frappé les serveurs non corrigés en 2025, et cette tendance ne s’est pas inversée.” - Source interne à l’analyse des menaces
La note de Microsoft précise que l’activation d’AMSI en mode complet sur le serveur atténue l’attaque. Une mesure de contournement utile, mais qui ne remplace pas l’application du correctif.
CVE-2026-56155 : la faille Active Directory Federation Services
Cette vulnérabilité permet à un attaquant déjà authentifié d’élever ses privilèges localement via des contrôles d’accès faibles. L’unité DART (Detection and Response Team) de Microsoft a reçu le crédit de la découverte. AD FS est le composant qui signe les jetons d’authentification pour l’ensemble du domaine de confiance. Une faille qualifiée de “locale” sur ce serveur a donc un impact bien plus large que ne le suggère son étiquette.
Microsoft n’a pas précisé les privilèges accordés par l’exploitation ni la manière dont les attaquants l’utilisent. Les deux failles ne figurent pas encore dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Le propre indicateur d’exploitabilité de Microsoft les marque déjà comme exploitées. Inutile d’attendre une inscription au KEV pour agir.
“Microsoft évalue la faille SharePoint comme ayant une sévérité relativement faible, ce qui rappelle que l’étiquette de sévérité n’est pas le critère de tri pertinent ce mois-ci.”
Les autres vulnérabilités notables de juillet 2026
CVE-2026-50661 : un contournement BitLocker divulgué
Cette troisième faille zero-day a été divulguée publiquement mais n’est pas activement exploitée. Elle nécessite un accès physique à l’appareil, ce qui réduit son urgence. Elle s’inscrit dans une série de contournages BitLocker observés depuis le début de l’année. À corriger, mais sans priorité absolue.
CVE-2026-55040 : le contournement d’authentification JWT de SharePoint
Rapid7 Labs a divulgué cette vulnérabilité, découverte lors du concours Pwn2Own Berlin. Le score CVSS fait débat : Rapid7 l’évalue à 5,3 (moyen), tandis que ZDI le lit à 9,1 (critique). Le fonctionnement n’est pas contesté : Rapid7 l’a enchaîné à une faille d’exécution de code à distance (RCE) distincte pour parvenir à une RCE non authentifiée. La moitié RCE de cette chaîne n’est pas encore corrigée ; Microsoft prévoit un correctif en août. Le correctif de juillet désamorce donc la chaîne d’attaque.
Le nettoyage RC4 qui peut bloquer les connexions
Cette mise à jour finalise le durcissement Kerberos RC4 de Microsoft. Depuis janvier 2026, Microsoft supprime progressivement le support de RC4. La mise à jour de juillet retire le commutateur de désactivation RC4DefaultDisablementPhase, la porte de secours utilisée par les administrateurs. Après cette mise à jour, RC4 ne fonctionnera que pour les comptes explicitement configurés pour l’autoriser.
L’ordre des opérations est crucial :
- Auditer d’abord l’environnement en utilisant les événements d’audit RC4 ajoutés par Microsoft en janvier.
- Changer les mots de passe des comptes de service identifiés, afin que Windows génère des clés AES pour eux.
- Appliquer la mise à jour une fois les comptes corrigés.
La rotation des mots de passe ne corrige que les comptes auxquels il manque des clés AES. Les comptes dont la configuration impose RC4, ou les clients hérités qui ne parlent que RC4, nécessitent une solution spécifique avant l’application de la mise à jour. Cette faille n’entraîne pas de brèche de sécurité, mais elle provoquera des échecs d’authentification si l’audit est négligé.
Analyse par famille de produits
Le tableau suivant détaille la répartition des 622 correctifs par famille de produits et les éléments à retenir pour chaque ensemble.
| Famille de produits | Nombre de CVE | Éléments à retenir |
|---|---|---|
| Windows | 416 | Inclut les deux zero-day (AD FS et BitLocker). Score maximal : CVE-2026-57092 (VMSwitch RCE) à 9,9. Cinq RCE DHCP, 21 bugs de pilotes NTFS et ReFS. |
| Office | 82 | Compté une fois (Microsoft liste les mêmes 82 sous Office 2016, d’où des doublons dans certains décomptes). |
| Microsoft Edge | 46 | 21 correctifs propres à Microsoft (hors Chromium). |
| Outils développeur | 27 | Contournements de fonctionnalités de sécurité dans Visual Studio, VS Code et GitHub Copilot (injection et traversée de chemin). |
| SharePoint Server | 17 | Inclut le zero-day exploité (CVE-2026-56164) et le contournement de Rapid7 (CVE-2026-55040). Une paire RCE critique dont CVE-2026-50522 à 9,8. |
| Azure | 11 | Rien de signalé comme urgent. |
| SQL Server | 8 | Une paire RCE : CVE-2026-54117 et CVE-2026-54118, toutes deux à 8,8. |
| Defender | 5 | Deux RCE critiques. |
| Exchange Server | 5 | Un XSS stocké dans Outlook Web Access (CVE-2026-55008) à 9,6. Microsoft le classe sous “spoofing”, ce qui minimise son importance. |
| Autres | 5 | Rien de signalé comme urgent. |
Sources : Microsoft Security Update Guide (total 622 CVE) et analyse ZDI (total 621 CVE).
Pourquoi un mois historiquement calme bat un record
Juillet est habituellement l’un des mois les plus légers du calendrier Microsoft. Ce volume exceptionnel s’explique par l’automatisation croissante de la détection. Microsoft a prévenu les clients le 9 juillet d’un “volume plus élevé de mises à jour de sécurité” à venir, grâce à l’intelligence artificielle qui l’aide à découvrir davantage de vulnérabilités.
Le système MDASH (Multi-model Detection and Automated Security Hunting), un système d’analyse multi-modèle, a découvert 16 des bugs du Patch Tuesday de mai à lui seul. Microsoft n’a pas précisé combien des 622 correctifs de juillet proviennent de ce pipeline.
Cette automatisation a un revers. Une fois le correctif publié, les attaquants peuvent comparer la version corrigée à la précédente, identifier la faille et construire un exploit fonctionnel avant que la plupart des organisations aient terminé leurs tests. Cela réduit la fenêtre de sécurité traditionnelle et rapproche le risque du “mercredi d’exploitation” (Exploit Wednesday).
“L’automatisation de la détection par Microsoft réduit le délai entre la publication du correctif et la disponibilité de l’exploit. Il faut patcher plus vite.”
Comment prioriser les correctifs face à 622 vulnérabilités
La notation CVSS n’est plus un critère de tri efficace. Quand une mise à jour contient 600 CVE et qu’une large part est notée “Élevée” ou “Critique”, le terme “critique” cesse d’être discriminant. Les deux failles exploitées ce mois-ci illustrent ce point : aucune n’a un score de 9,8, ce sont des failles de privilège de niveau intermédiaire, et elles sont déjà utilisées.
Les critères de priorisation à utiliser :
- Les indicateurs d’exploitation : utiliser le catalogue KEV de la CISA, le score EPSS (Exploit Prediction Scoring System) et le drapeau “exploité” de Microsoft.
- L’impact sur l’infrastructure : les composants d’authentification (AD FS) et de collaboration (SharePoint) sont des cibles privilégiées.
- La criticité pour l’activité : une faille dans un système critique pour l’entreprise peut justifier une intervention urgente même avec un score CVSS modéré.
- Les dépendances : le correctif RC4 peut bloquer des connexions si l’audit n’est pas réalisé en amont.
Un exemple concret : une entreprise française du secteur bancaire, utilisant SharePoint Server 2019 pour la gestion documentaire et AD FS pour l’authentification unique, doit prioriser les correctifs CVE-2026-56164 et CVE-2026-56155 avant tout autre. L’exploitation de ces failles pourrait compromettre l’ensemble du système d’information. L’audit RC4 doit être réalisé en parallèle pour éviter une interruption de service.
Conclusion : agir vite et prioriser par l’exploitation
Le Patch Tuesday de juillet 2026 marque un tournant dans la gestion des correctifs. Le volume de 622 vulnérabilités rend impossible une approche exhaustive. La priorisation doit se faire par l’exploitation réelle, pas par le score CVSS.
Les actions immédiates à entreprendre :
- Appliquer les correctifs pour CVE-2026-56164 (SharePoint Server) et CVE-2026-56155 (AD FS) en priorité.
- Activer AMSI en mode complet sur les serveurs SharePoint en attendant le correctif.
- Auditer l’environnement pour les comptes utilisant RC4 Kerberos et changer leurs mots de passe avant d’appliquer la mise à jour.
- Planifier la migration des serveurs SharePoint Server 2016 et 2019 arrivés en fin de support.
- Surveiller les indicateurs KEV et EPSS pour les vulnérabilités non encore exploitées.
Le nombre de correctifs va continuer d’augmenter. L’automatisation de la détection par Microsoft, couplée à l’IA, produira des Patch Tuesday toujours plus volumineux. Les équipes de cybersécurité doivent adapter leurs processus de priorisation et réduire leurs délais de déploiement. Les deux failles zero-day de ce mois-ci rappellent une règle fondamentale : ce qui est exploité aujourd’hui est plus urgent que ce qui est noté critique demain.