Microsoft cybersécurité sécurité informatique vulnérabilités critiques CVE Patch Tuesday zero-day correctifs Azure Dynamics 365

Microsoft a corrigé 137 vulnérabilités dans le cadre de son Patch Tuesday de mai, affectant divers produits, composants et systèmes sous-jacents de l'entreprise. Malgré le nombre élevé de failles, aucune n'a été exploitée activement en tant que zero-day ce mois-ci.

13 vulnérabilités critiques identifiées

Parmi les 137 failles corrigées, 13 ont reçu une note critique selon le CVSS, dont deux touchant Azure :

  • CVE-2026-33109 et CVE-2026-42823 (Azure)
  • CVE-2026-42898 (Microsoft Dynamics 365) avec une note CVSS de 9,9

Risques et priorités d'application des correctifs

Microsoft a également classé 13 vulnérabilités comme plus susceptibles d'être exploitées, tandis que 113 autres sont considérées comme peu ou pas exploitables. Cette hausse du nombre de failles reflète une tendance croissante, notamment avec l'utilisation de l'intelligence artificielle pour détecter des vulnérabilités dans le code.

« Bien que toutes ces failles n'aient pas été découvertes par l'IA, il est probable que cette technologie ait joué un rôle, ne serait-ce que dans la rédaction des rapports de soumission. »

— Dustin Childs, responsable de la sensibilisation aux menaces chez Trend Micro’s Zero Day Initiative

Failles notables et leurs impacts

Dustin Childs a particulièrement souligné CVE-2026-41096, une faille dans le service DNS de Windows permettant une exécution de code à distance sans authentification ni interaction utilisateur. « La surface d'attaque est immense, car le client DNS est présent sur presque toutes les machines Windows », a-t-il expliqué. Un attaquant capable d'influencer les réponses DNS pourrait compromettre l'ensemble d'une entreprise.

Autre faille critique : CVE-2026-41089, affectant le service Netlogon de Windows. Cette vulnérabilité permet une exécution de code à distance sans authentification, ce qui en fait « la faille à impact maximal nécessitant une correction immédiate ». « Un contrôleur de domaine compromis équivaut à un domaine compromis », a averti Childs.

Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, a mis en garde contre CVE-2026-42898, la faille critique dans Microsoft Dynamics 365. « Sans interaction utilisateur requise et avec un potentiel d'impact dépassant le composant vulnérable, cette faille représente un risque majeur pour les entreprises », a-t-il déclaré. « Un attaquant disposant d'un accès basique pourrait transformer un serveur d'application métier en plateforme d'exécution à distance ».

La compromission de Dynamics 365 pourrait exposer des données clients, des flux opérationnels, des informations financières et des systèmes intégrés. « Les environnements CRM étant souvent connectés à des services d'identité, des bases de données et des applications d'entreprise, une exploitation réussie pourrait entraîner une compromission plus large de l'organisation », a ajouté Bicer.

Liste complète et recommandations

La liste complète des vulnérabilités corrigées est disponible sur le Microsoft Security Response Center. Les entreprises sont vivement encouragées à appliquer les correctifs rapidement pour limiter les risques d'exploitation.

Source : CyberScoop
Les Texans officialisent la signature de Aiden Fisher, nouveau linebacker prometteur
← Précédent

Les Texans officialisent la signature de Aiden Fisher, nouveau linebac...

 Matt Ribel : un journaliste spécialisé dans la convergence entre science, technologie et politique
Suivant →

Matt Ribel : un journaliste spécialisé dans la convergence entre scien...