IRCNF
Security

Microsoft corrige 208 CVEs lors d'un Patch Tuesday record pendant qu'un chercheur publie un nouveau zero-day pour Defender

BleepingComputer
Partager:
Microsoft corrige 208 CVEs lors d'un Patch Tuesday record pendant qu'un chercheur publie un nouveau zero-day pour Defender

Microsoft a publié le 10 juin 2026 des correctifs de sécurité pour 208 vulnérabilités, le plus grand Patch Tuesday de l'histoire du programme en 23 ans. Quelques heures après la publication des mises à jour, un chercheur connu sous le nom de Nightmare Eclipse a rendu public un code d'exploit fonctionnel ciblant une faille de privilege escalation inconnue dans Windows Defender, plaçant les équipes de sécurité d'entreprise face à l'une des journées de patch les plus éprouvantes dont on se souvienne.

Une faille kernel wormable en tête de liste

Le correctif le plus urgent de ce mois est CVE-2026-45657, une vulnérabilité use-after-free notée CVSS 9.8 dans le Windows Kernel TCP/IP stack. Microsoft la qualifie de wormable : un attaquant non authentifié peut, depuis internet, envoyer des paquets spécialement forgés vers un système vulnérable pour obtenir une exécution de code au niveau SYSTEM, sans aucune authentification ni interaction de l'utilisateur. Les systèmes concernés incluent Windows 11 versions 23H2 à 26H1 en x64 et ARM64, ainsi que Windows Server 2022 et 2025, y compris les installations Server Core.

Aucun exploit public confirmé n'existe encore pour CVE-2026-45657, mais des chercheurs en sécurité procèdent déjà au reverse engineering du patch. Compte tenu des caractéristiques de la vulnérabilité, la fenêtre avant l'apparition d'un exploit public fiable se mesure en jours, pas en semaines.

Six zero-days, dont un activement exploité

Parmi les 208 CVEs figurent six zero-days, cinq d'entre eux étant déjà publiquement connus avant les correctifs d'aujourd'hui. L'un d'eux — CVE-2026-42897, une vulnérabilité de spoofing dans Microsoft Exchange — était activement exploité dans des attaques réelles avant la publication du correctif. Les autres zero-days notables comprennent GreenPlasma (CVE-2026-45586), une élévation de privilèges dans le Windows Collaborative Translation Framework ; YellowKey (CVE-2026-45585) et Bitskrieg (CVE-2026-50507), deux contournements de BitLocker ; et HTTP/2 Bomb (CVE-2026-49160), un déni de service contre HTTP.sys permettant à un attaquant non authentifié de planter les serveurs web vulnérables.

Le décompte de 208 CVEs, établi par le chercheur Dustin Childs de la Zero Day Initiative de Trend Micro, dépasse le précédent record de 167 CVEs en un seul mois. Sur le total, 33 sont de sévérité Critical, dont 28 sont des failles de remote code execution.

RoguePlanet : un nouveau zero-day pour Defender le même jour

Quelques heures après la mise à jour de Microsoft, Nightmare Eclipse — chercheur ayant publié ces derniers mois une série de zero-days Windows sous des noms comme BlueHammer, RedSun et GreenPlasma — a rendu public RoguePlanet, un nouvel exploit de local privilege escalation visant Microsoft Defender. La faille exploite une race condition dans la logique interne de traitement des fichiers par Defender, permettant à un utilisateur standard sans droits particuliers d'exécuter du code avec des privilèges SYSTEM sur des machines Windows 10 et Windows 11 entièrement patchées.

L'exploit n'est pas fiable à 100% — étant une race condition, les résultats varient selon la configuration de la machine — mais ThreatLocker a confirmé son fonctionnement sur les systèmes Windows 11 avec la mise à jour KB5094126 de juin installée. Les organisations utilisant l'application allowlisting peuvent bloquer ce vecteur d'attaque.

Nightmare Eclipse est en conflit public permanent avec Microsoft concernant ses pratiques de divulgation des vulnérabilités et ses paiements de bug bounty. Après la suppression des dépôts du chercheur sur GitHub et GitLab, Nightmare Eclipse s'est déplacé vers une plateforme auto-hébergée sur projectnightcrawler.dev et continue de publier de nouveaux exploits. Le CVE pour RoguePlanet n'a pas encore été attribué.

Comment prioriser

Les équipes de sécurité doivent agir rapidement sur CVE-2026-45657 (la faille wormable du kernel TCP/IP) et CVE-2026-42897 (le zero-day Exchange sous exploitation active) avant de traiter le reste du lot. Pour la faille RoguePlanet dans Defender, aucun correctif n'existe encore — l'application allowlisting et les règles de détection endpoint sont les mesures disponibles le temps que Microsoft développe un correctif. Comme le rapporte BleepingComputer, la liste complète des CVEs et des produits concernés est disponible dans le Guide de mise à jour de sécurité Microsoft de juin 2026.

Microsoftcybersecuritywindowszero-dayvulnerabilitypatch-tuesday

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Partager: