Le Patch Tuesday de mai 2026 publié par Microsoft le 12 mai apporte une fournée de vulnérabilités CRITICAL qui méritent une attention immédiate. Quatre CVE sortent du lot par leur sévérité (CVSS 9.8 à 9.9) et leur surface d'attaque : deux RCE non authentifiées dans des composants Windows Server ubiquitaires (Netlogon et DNS), une injection de code dans Dynamics 365 on-premises, et une élévation de privilèges dans Azure Logic Apps. Cet article fait le point sur chacune, leurs conditions d'exploitation et l'ordre de patch recommandé.
Si vous opérez un parc Windows Server ou des charges Azure/Dynamics, votre fenêtre de maintenance des prochains jours doit absolument inclure ces correctifs.
Les 4 CVE en un coup d'œil
| CVE | Composant | CVSS | Type | Authentification |
|---|---|---|---|---|
| CVE-2026-41089 | Windows Netlogon | 9.8 | Stack buffer overflow → RCE | Non |
| CVE-2026-41096 | Microsoft Windows DNS | 9.8 | Heap buffer overflow → RCE | Non |
| CVE-2026-42898 | Dynamics 365 (on-premises) | 9.9 | Code injection → RCE | Faible (compte standard) |
| CVE-2026-42823 | Azure Logic Apps | 9.9 | Improper access control → EoP | Faible |
CVE-2026-41089 — Windows Netlogon : stack overflow → RCE non authentifiée
Le service Netlogon est central dans l'authentification Active Directory : il gère la communication entre les contrôleurs de domaine et les clients pour la validation des credentials, la jointure de machines au domaine, et la réplication des données d'annuaire. Une RCE non authentifiée sur Netlogon a un impact comparable historiquement à Zerologon (CVE-2020-1472) : compromission complète du domaine en quelques secondes.
Vecteur d'attaque
- AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — accès réseau, complexité faible, aucune authentification ni interaction utilisateur
- Un attaquant capable d'atteindre les ports Netlogon (typiquement RPC sur TCP 135 + ports éphémères, ou ports MS-NRPC) d'un contrôleur de domaine peut déclencher l'overflow
Impact
Code arbitraire en SYSTEM sur le contrôleur de domaine = domain admin de facto. Vol des hashes NTLM/Kerberos, modification de comptes, persistance, exfiltration de l'AD complet.
Priorité de patch : CRITIQUE — patcher dans les 24-48h sur les DC exposés à des réseaux non maîtrisés (DMZ, VPN, Wi-Fi corporate).
CVE-2026-41096 — Windows DNS Server : heap overflow → RCE non authentifiée
Le service Windows DNS Server est intégré sur la quasi-totalité des contrôleurs de domaine (DNS et AD étant historiquement co-localisés). Un heap buffer overflow exploitable à distance sans authentification rappelle SIGRed (CVE-2020-1350), qui était déjà jugée "wormable" par Microsoft.
Vecteur d'attaque
- AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H — RCE réseau, pas d'auth requise
- Exploitation probable via une réponse DNS forgée à une requête initiée par le serveur, ou via une mise à jour DDNS malicieuse selon les configurations
- Le service tourne en
SYSTEM→ code arbitraire SYSTEM sur le contrôleur de domaine
Pourquoi c'est critique
- Les serveurs DNS Windows sont fréquemment exposés sur Internet pour servir des zones publiques
- Le couplage Windows DNS + AD signifie que toute compromission DNS = compromission AD
- Les correctifs précédents (SIGRed) ont historiquement été exploités dans la nature en quelques semaines
Priorité de patch : CRITIQUE — immédiate sur tous les serveurs DNS Windows.
CVE-2026-42898 — Dynamics 365 (on-premises) : code injection authentifiée
Dynamics 365 on-premises reste utilisé par de nombreuses ETI et secteurs régulés (finance, santé) qui n'ont pas migré vers la version cloud. Cette CVE permet à un attaquant disposant d'un compte standard authentifié d'injecter du code et de l'exécuter sur le serveur.
Vecteur d'attaque
- AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H — accès réseau, complexité faible, privilèges utilisateur faibles suffisent
- Scope
S:C(Changed) : l'attaquant compromet un composant différent de celui contenant la faille — typiquement, code injecté qui s'exécute avec les privilèges du service Dynamics
Impact
Un compte standard (un commercial, un consultant externe avec accès à Dynamics) peut potentiellement obtenir une RCE et pivoter vers les autres ressources du serveur — comptes admin Dynamics, base de données, données clients, intégrations.
Priorité de patch : HAUTE — patcher dans les 7 jours, en particulier pour les déploiements avec accès externe ou partenaire.
CVE-2026-42823 — Azure Logic Apps : élévation de privilèges
Azure Logic Apps est le service d'orchestration de workflows d'Azure (équivalent low-code de Power Automate côté entreprise). Cette CVE permet à un attaquant disposant déjà d'un compte (privilèges faibles) d'élever ses droits dans le tenant.
Vecteur d'attaque
- AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H — privilèges faibles suffisent
- Scope changé → l'élévation impacte des composants au-delà de Logic Apps (autres services Azure du tenant ?)
Impact
Le cas typique d'attaque : compromission initiale d'un compte utilisateur (phishing, fuite de credentials), puis utilisation de Logic Apps pour pivoter vers des permissions de niveau souscription ou tenant. Vol de secrets stockés dans Azure Key Vault, accès à des storage accounts, modification de configuration cloud.
Priorité de patch
Côté Azure, Microsoft applique automatiquement les correctifs (service managé). Action utilisateur : vérifier les logs Azure Activity de l'utilisation de Logic Apps des 30 derniers jours pour détecter une éventuelle exploitation antérieure à la divulgation.
Ordre de patch recommandé
- CVE-2026-41089 (Netlogon RCE) + CVE-2026-41096 (DNS RCE) — en priorité absolue sur tous les contrôleurs de domaine, dans les 24-48h
- CVE-2026-42898 (Dynamics 365) — dans les 7 jours, surtout si accès externe
- CVE-2026-42823 (Azure Logic Apps) — audit Azure logs, pas de patch utilisateur côté Microsoft
Procédure de déploiement sur les DC
# Vérifier l'état des updates sur un DC
Get-WindowsUpdate -Verbose
# Installer les updates de sécurité Critical en file
Install-WindowsUpdate -Category SecurityUpdates -AcceptAll -AutoReboot
# Vérifier la version après patch
Get-HotFix | Where-Object { $_.InstalledOn -gt (Get-Date).AddDays(-7) }
Pour les environnements de production avec maintenance planifiée, considérez la fenêtre de patch comme incompressible — un Netlogon ou DNS Windows non patché sur un DC exposé Internet ou DMZ est compromis en quelques jours.
Détection post-exploitation
Sur les contrôleurs de domaine
- Crashes répétés du service
NetlogonouDNS(Event Viewer → System log) - Création de comptes admin inhabituels (
whoami /privaudit régulier) - Trafic sortant inhabituel depuis le DC (les DC ne devraient avoir que des connexions sortantes vers d'autres DC et services bien identifiés)
Sur Dynamics 365
- Logs d'audit applicatif : exécutions de plugins, modifications de workflows, accès à des entités sensibles depuis des comptes non habituels
- Vérifier le journal des modifications de configuration et des plugins enregistrés
Sur Azure
- Azure Sentinel / Activity logs : recherche d'élévations de privilèges anormales, modifications de Logic Apps non sollicitées, accès à des Key Vaults
Pourquoi surveiller en continu votre parc Microsoft
Le Patch Tuesday mensuel apporte régulièrement 5 à 15 CVE CRITICAL dans l'écosystème Microsoft — Windows Server, SQL Server, Exchange, Office, Azure, Dynamics. Garder une visibilité à jour sur quelles versions exactes de chaque composant tournent dans votre parc est la seule façon de déployer les correctifs dans les délais — surtout pour les RCE non authentifiées qui justifient une fenêtre de patch d'urgence.
Avec cveo.tech, inventoriez vos serveurs Windows, vos charges Azure et vos déploiements Microsoft on-premises (Exchange, SharePoint, Dynamics) et recevez un email automatique à chaque Patch Tuesday avec les CVE qui concernent vos versions exactes — pour ne plus avoir à corréler manuellement le bulletin Microsoft avec votre inventaire.