Retour au blog
Patch TuesdayCVE-2026-40402CVE-2026-40379CVE-2026-41615Hyper-VEntra IDMicrosoft AuthenticatorCVE

Microsoft Patch Tuesday Mai 2026 — Wave 2 : Hyper-V LPE, Entra ID spoofing, Authenticator

Suite du Patch Tuesday mai 2026 : 3 nouvelles CVE CRITICAL — Hyper-V use-after-free LPE (9.3), Entra ID spoofing (9.3), Microsoft Authenticator info disclosure (9.6). Patch immédiat.

15 mai 20266 min de lecture

Le Patch Tuesday de mai 2026 ne s'arrête pas aux 4 CVE CRITICAL que nous avions analysées la semaine dernière. Trois CVE supplémentaires méritent une attention dédiée — toutes affectent des composants centraux de l'écosystème Microsoft moderne :

  • CVE-2026-40402 — Use-after-free dans Windows Hyper-V → élévation de privilèges locale (CVSS 9.3)
  • CVE-2026-40379 — Spoofing dans Azure Entra ID (CVSS 9.3)
  • CVE-2026-41615 — Information disclosure dans Microsoft Authenticator (CVSS 9.6)

Si vous opérez une infrastructure virtualisée Hyper-V, un tenant Azure AD/Entra ID, ou si vos utilisateurs reposent sur Microsoft Authenticator pour leur MFA, cet article fait le point pour cadrer votre fenêtre de patch.

CVE-2026-40402 — Hyper-V use-after-free → LPE (CVSS 9.3)

Composant et vecteur

Windows Hyper-V est l'hyperviseur de virtualisation natif de Windows Server, utilisé par des millions d'organisations pour héberger des VMs en production (Azure Stack HCI inclus). Cette CVE touche le composant hyperviseur côté host — pas l'invité.

Vector : AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:Haccès local requis (Attack Vector "Local"). Mais le S:C (Scope Changed) signale que l'exploitation traverse les barrières d'isolation : un attaquant capable d'exécuter du code dans une VM invitée peut potentiellement compromettre l'hôte.

Le bug

Un use-after-free dans le code de gestion de mémoire de Hyper-V. Selon le pattern classique :

  1. Un objet noyau côté hôte est libéré
  2. Un pointeur dangling subsiste
  3. Une opération ultérieure utilise le pointeur dangling
  4. Si l'attaquant contrôle la réallocation de la zone mémoire, il peut détourner le flow noyau

Impact

  • VM escape potentiel : un attaquant root dans une VM peut compromettre l'hôte (cas extrême et difficile à exploiter, mais théoriquement possible avec S:C)
  • Élévation de privilèges locale sur l'hôte
  • Vol des hashes/credentials des autres VMs hébergées
  • Persistance au niveau hyperviseur (très difficile à détecter)

Priorité de patch

CRITIQUE pour les hôtes Hyper-V hébergeant des VMs non-trusted (cloud multi-tenant, environnements de testing avec accès partenaires). Élevée pour les hôtes mono-tenant. Le patch doit être appliqué dans la prochaine fenêtre de maintenance, avec migration live des VMs préalable.

CVE-2026-40379 — Entra ID spoofing (CVSS 9.3)

Composant et vecteur

Azure Entra ID (anciennement Azure Active Directory) est l'IDP cloud de Microsoft — utilisé par des millions de tenants pour l'authentification SSO et la gestion d'identité. La CVE permet à un attaquant non authentifié de spoofer une identité sur le réseau.

Vector : AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N — exploitation réseau, interaction utilisateur requise (typiquement clic sur un lien crafté ou visite d'une page malveillante).

Mécanisme probable

Sans détails techniques publiés par Microsoft (politique habituelle pour les services managés), l'analyse du vecteur suggère un scénario de phishing assisté par confusion d'identité :

  1. L'attaquant crée une URL spécialement craftée qui ressemble à un flow OAuth/SAML Entra ID légitime
  2. La victime clique → un flow d'authentification s'initie
  3. Une faille dans le composant côté Entra ID permet à l'attaquant de récupérer le token ou de se substituer à la victime dans le contexte applicatif

Impact

  • Vol de session : l'attaquant accède aux applications SSO de la victime (Microsoft 365, SaaS tiers via Entra ID, Azure Portal)
  • Bypass MFA dans certains cas (si l'attaquant intercepte le token post-MFA)
  • Phishing à grande échelle : URLs malicieuses crédibles qui contournent les détections classiques de phishing

Priorité de patch

Côté tenant : Microsoft a déjà déployé le correctif côté service (service managé). Action utilisateur :

  1. Audit des logs Entra ID des 30 derniers jours pour détecter d'éventuelles connexions anormales
  2. Sensibilisation utilisateurs : la CVE rappelle que même un flow OAuth légitime peut être compromis par un lien malicieux — l'éducation reste critique

CVE-2026-41615 — Microsoft Authenticator info disclosure (CVSS 9.6)

Composant et vecteur

Microsoft Authenticator est l'app MFA officielle Microsoft, déployée sur des centaines de millions de smartphones. La CVE permet une exposition d'informations sensibles à un attaquant non autorisé.

Vector : AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H — réseau, interaction utilisateur (toucher une notification ?).

Mécanisme probable

Plusieurs scénarios plausibles selon la formulation :

  1. Notification push spoofée : un attaquant peut envoyer une notification Authenticator falsifiée que la victime approuve par réflexe (MFA fatigue attack amélioré)
  2. Affichage d'informations sensibles dans une notification (codes, identifiants) accessibles à un autre app malicieuse sur l'OS
  3. Désérialisation côté API Authenticator qui leak des données via une URL malformée

L'impact C:H/I:H/A:H avec scope changé signale que la CVE peut être chaînée pour obtenir des codes MFA non sollicités ou des informations d'identification.

Impact

  • Approval push spoofing : la victime approuve une connexion qui n'est pas la sienne → l'attaquant accède au compte Microsoft 365
  • Exfiltration des codes TOTP générés par l'app
  • Bypass MFA sur les comptes Microsoft et tiers utilisant Authenticator comme TOTP générique

Priorité de patch

Mise à jour de l'app Microsoft Authenticator :

  • iOS : App Store → Authenticator → Update
  • Android : Play Store → Authenticator → Update

À pousser via votre MDM (Intune, Jamf, Kandji) en règle de conformité dans les 7 jours. Cas extrêmement courant que le MDM force déjà la mise à jour automatique — vérifiez via votre console MDM que c'est bien le cas.

Récap et ordre de patch

CVEComposantPatch côtéDélai recommandé
CVE-2026-40402Hyper-V (host)Windows UpdateProchaine fenêtre de maintenance, max 14 jours
CVE-2026-40379Entra IDMicrosoft (déjà déployé)Audit logs des 30j
CVE-2026-41615Authenticator appiOS/Android update7 jours via MDM

Procédure Windows Hyper-V

# Vérifier l'état des updates sur un hôte Hyper-V
Get-WindowsUpdate -Verbose

# Lister les VMs hébergées et migrer si cluster Hyper-V
Get-VM
Move-ClusterVirtualMachineRole -Name <vm-name> -Node <other-node>

# Installer
Install-WindowsUpdate -Category SecurityUpdates -AcceptAll -AutoReboot

Audit Entra ID

Dans l'Entra ID Admin Center :

  1. Identity → Monitoring & health → Sign-in logs
  2. Filtre : "Failed sign-ins" + "Risky sign-ins" sur les 30 derniers jours
  3. Recherche d'anomalies : connexions depuis des pays inhabituels, IPs résidentielles non whitelistées, user agents bizarres
  4. Considère une rotation des Application Passwords par précaution

Vérification de la version Authenticator

  • iOS : Authenticator → Réglages → À propos → version doit être ≥ celle du patch officiel (vérifier la note de version sur App Store)
  • Android : pareil via Authenticator → Settings → About

Pourquoi surveiller en continu votre écosystème Microsoft

Le Patch Tuesday mensuel publie 5 à 15 CVE CRITICAL par cycle, réparties entre Windows Server, SQL Server, Office, Azure, Dynamics, Hyper-V, et les apps mobiles Microsoft. Garder une visibilité à jour sur quels composants sont déployés où — et surtout, qui les utilise — est un défi en soi. Les CVE comme celles-ci se chevauchent : Entra ID + Authenticator + Hyper-V touchent trois surfaces différentes dans la même organisation.

Avec cveo.tech, inventoriez les composants Microsoft de votre parc — serveurs Windows, charges Azure, identités Entra ID, apps mobiles standardisées — et recevez un email automatique à chaque Patch Tuesday avec les CVE concernant vos versions exactes et vos services activés, pour découper la liste Microsoft en un plan d'action ciblé.

Surveillez les CVE avec l'IA

Recherche IA, scoring CVSS, surveillance de parc et alertes automatiques.

Essayer la recherche IA →Créer un compte gratuit

Articles similaires

WordPress Mai 2026 : 4 plugins critiques en auth bypass / RCE (CVSS 9.8)

Burst Analytics, Career Section, InfusedWoo Pro, Form Notify — 4 plugins WordPress avec auth bypass / RCE / privilege escalation publiés en mai 2026. Versions et mitigation.

SAP S/4HANA CVE-2026-34260 : SQL injection authentifiée dans Enterprise Search ABAP

SAP S/4HANA Enterprise Search ABAP : SQL injection (CVSS 9.6) via user input concaténé sans validation. Compromission de données critiques, audit recommandé.

ArchiveBox CVE-2026-42601 : RCE via /add/ — aucun patch disponible (CVSS 9.8)

ArchiveBox ≤ 0.8.6rc0 : l'endpoint /add/ injecte une config JSON non validée dans les variables d'environnement des plugins. RCE non auth, aucun correctif officiel. Mitigation.