Patch Tuesday mai 2026 : 30 failles critiques à corriger en urgence

Microsoft a livré une salve de 137 correctifs ce mois-ci dont 30 pour des vulnérabilités critiques. Des patchs à appliquer dès que possible pour éviter de l'exécution de code distant notamment dans Dynamics 365, Netlogon et le client DNS de Windows.

Alerte rouge pour les administrateurs de systèmes Windows et responsables de la sécurité des SI ce mois-ci. Microsoft a lancé une salve de correctifs dans son patch tuesday de mai comblant pas moins de 30 failles critiques dans ses différents systèmes et applications, pour un total de 137 CVE identifiées. Un élément rassurant, aucune des failles patchées par l’éditeur ce mois-ci n'a été répertorié comme étant déjà connue ni exploitée. Cela laisse donc un avantage pour les entreprises d'anticiper d’éventuelles attaques, à condition bien sûr qu’elles procèdent dès que possible à la mise à jour des solutions concernées. Et elles sont nombreuses.

Parmi les failles critiques corrigées, plus de la moitié (16) ouvrent la voie à de l’exécution de code distant (RCE), c’est à dire sans besoin pour un pirate d’obtenir un accès physique à un PC ou serveur. C’est le cas de la CVE-2026-41096 (score CVSS 9,8) qui concerne le client DNS de Windows dont le patch répare un débordement de la mémoire tampon (heap) provoqué par une réponse DNS malveillante. « Aucune authentification ni interaction de l'utilisateur n'est requise, et comme le client DNS est présent sur pratiquement tous les ordinateurs Windows, la surface d'attaque est considérable », ont prévenu les chercheurs de la Zero Day Initiative (ZDI).

Dynamics 365 et Netlogon vulnérables

Une autre vulnérabilité préoccupante est la CVE-2026-42898 affectant la version on-premise de Dynamics 365 au score CVSS de 9,9. « Elle permet à tout utilisateur authentifié d'exécuter du code avec un changement de périmètre, ce qui signifie qu'une exploitation pourrait s'étendre et affecter des ressources au-delà du composant vulnérable lui-même. », poursuivent les chercheurs en sécurité de ZDI. « Les changements de périmètre étant assez rares, si vous utilisez Dynamics 365 sur site, veillez à tester et à déployer ce correctif sans tarder. »

La CVE-2026-41089 qui concerne Netlogon (une procédure Windows Server permettant l'authentification des utilisateurs et des autres services de domaine) n’est pas à négliger non plus (score CVSS 9,8) puisqu’elle donne la capacité à une personne non authentifiée d’exécuter du code sur un contrôleur de domaine en envoyant une requête réseau spécialement conçue. « « La vulnérabilité Netlogon affecte directement les contrôleurs de domaine et l'infrastructure d'identité », a expliqué Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, à notre confrère CSO. « Cela entraîne un risque de compromission au niveau du domaine, de vol d'identifiants, de déploiement de ransomware et de pannes opérationnelles ». Cette vulnérabilité pourrait toucher les versions de Windows Server remontant jusqu'à 2016.

D’autres failles importantes ont été aussi corrigées, ouvrant également de type RCE. C’est le cas de la CVE-2026-40370 (score CVSS 8,8) touchant SQL Server, et des CVE-2026-40357, CVE-2026-33112, CVE-2026-33110 et CVE-2026-35439 (toutes au score CVSS également de 8,8) qui concernent SharePoint Server. Attention également à la CVE-2026-42823 (score CVSS 9;9) qui peut déboucher sur une élévation de privilèges dans Azure Logic Apps.