Microsoft dévoile son plus gros Patch Tuesday de l’histoire avec 570 failles et 3 zero-day

Actu Cybersécurité

Microsoft dévoile son plus gros Patch Tuesday de l’histoire avec 570 failles et 3 zero-day

570 failles de sécurité corrigées d’un seul coup. Je vous présente le Patch Tuesday de juillet 2026 : le plus volumineux jamais publié par Microsoft, avec près de trois fois plus de vulnérabilités que le record établi le mois dernier. Parmi elles, 3 failles zero-day, dont 2 déjà exploitées dans des attaques. Voici l’essentiel à savoir.

En juin, c’était déjà monstrueux avec 200 vulnérabilités corrigées par les mises à jour Microsoft. Un mois plus tard, le compteur affiche 570 vulnérabilités, si l’on met de côté celles patchées dans Microsoft Edge et les services Cloud de Microsoft. Un accident de parcours ? Non. Microsoft nous avait prévenu.

En effet, il y a quelques jours, l’éditeur américain est revenu sur l’utilisation de MDASH, son système multi-agents de découverte de vulnérabilités, pour analyser le code de Windows et débusquer des failles de sécurité. Microsoft avait d’ailleurs précisé que ses clients devaient s’attendre à un volume plus élevé de mises à jour de sécurité. En voici une démonstration. J’avais d’ailleurs relayé cet avertissement de Microsoft dans notre article Microsoft prévient : l’IA va faire gonfler vos Patch Tuesday.

Tout d’abord, sur le total de 570 vulnérabilités patchées par Microsoft, il faut savoir qu’il y en a 57 critiques, soit 10%. La grande majorité étant considérée comme des failles importantes (89,5%). Parmi ces vulnérabilités, il y en a aussi 250 (soit 43,8%) permettant une élévation de privilèges et 144 (soit 25,2%) permettant une exécution de code à distance. Le décor est planté.

Parmi les 57 vulnérabilités critiques, 48 permettent une exécution de code à distance. On en dénombre d’ailleurs 31 dans Windows, 15 dans la suite bureautique Microsoft Office et 7 SharePoint Server. Et puis, il y a ces concentrations de failles autour de plusieurs produits et services qui méritent votre attention :

Au final, la note est salée pour l’ensemble des systèmes d’exploitation de Microsoft : Windows Server 2025 encaisse 388 vulnérabilités, tandis que Windows 11 est affecté par 383 failles de sécurité, et pas beaucoup moins du côté de Windows 10.

Trois zero-day, dont deux déjà exploitées

Passons désormais à l’analyse des trois failles zero-day patchées par Microsoft à l’occasion de ce Patch Tuesday. Commençons par évoquer celles déjà exploitées dans le cadre de cyberattaques.

CVE-2026-56155, élévation de privilèges dans AD FS (exploitée)

La CVE-2026-56155 les services de fédération Active Directory, ce qui correspond au rôle AD FS, et elle permet d’obtenir les droits admins. Microsoft explique : “Une granularité insuffisante du contrôle d’accès dans AD FS permet à un attaquant autorisé d’élever ses privilèges localement”. Elle affecte l’ensemble des versions de Windows Server encore prises en charge par Microsoft.

Aucun détail n’a été communiqué sur la façon dont a été exploitée cette vulnérabilité au sein des cyberattaques. Rappelons qu’AD FS est le pivot d’authentification entre l’on-premise et le cloud dans les environnements hybrides, et il a déjà été impliqué dans des scénarios d’attaques, y compris via des campagnes de phishing usurpant des pages de connexion.

CVE-2026-56164, élévation de privilèges dans SharePoint Server (exploitée)

Deuxième faille exploitée, celle-ci vise SharePoint Server dans sa version on-premise : SharePoint Enterprise Server 2016, SharePoint Server 2019 et SharePoint Server SE. Il s’agit d’une faille de sécurité permettant une élévation de privilèges sur le serveur vulnérable.

À propos de cette vulnérabilité, Microsoft précise : “Le vecteur d’attaque est Réseau (AV:N) car cette vulnérabilité est exploitable à distance et peut être exploitée sur Internet. La complexité de l’attaque est Faible (AC:L) car un attaquant n’a pas besoin d’une connaissance préalable significative du système et il pourrait réussir à exploiter plusieurs fois cette vulnérabilité avec la charge utile contre le composant vulnérable.”

Cette vulnérabilité est considérée comme modérée. Pourtant, il s’agit d’une faille exploitable à distance sans authentification et déjà utilisée dans des attaques. Et preuve qu’elle mérite une attention particulière, l’agence CISA a ajouté la CVE-2026-56164 à son catalogue KEV dès le 14 juillet 2026 et a publié dans la foulée une alerte appelant au durcissement des serveurs SharePoint. Un scénario qui rappellera de mauvais souvenirs à ceux qui ont suivi la vague de compromissions ayant touché plus de 400 serveurs SharePoint en 2025.

Si vous ne pouvez pas patcher immédiatement, Microsoft indique que l’activation d’AMSI sur le serveur, couplée au mode d’analyse du corps de requête réglé sur , contribue à atténuer la faille.

CVE-2026-50661, contournement de BitLocker (divulguée)

La troisième zero-day est un contournement de BitLocker, divulgué publiquement avant la disponibilité du correctif de sécurité, mais dont l’exploitation n’est pas confirmée à ce jour. Microsoft explique qu’un attaquant disposant d’un accès physique à la cible pourrait accéder aux données chiffrées.

La faille est attribuée à un chercheur anonyme… Mais est-il vraiment si anonyme que ça ? Ce scénario vous semble familier ? À nous aussi. Sans qu’aucun lien officiel n’ait été établi, difficile de ne pas penser au feuilleton en cours autour de BitLocker, après YellowKey puis GreatXML. Le chercheur anonyme pourrait donc être Nightmare Eclipse et la faille celle surnommée GreatXML (YellowKey étant déjà corrigé). Le conditionnel s’impose donc, mais c’est une hypothèse qui me semble sérieuse.

Kerberos : le RC4 tire sa révérence sur vos contrôleurs de domaine

Il y a un point de ce Patch Tuesday qui n’a rien à voir avec le décompte des CVE, et qui pourtant mérite une attention particulière. Les mises à jour de juillet 2026 marquent la phase finale du durcissement Kerberos engagé par Microsoft contre la CVE-2026-20833. Il s’agit d’une vulnérabilité permettant d’obtenir des tickets de service chiffrés en RC4 pour ensuite casser hors ligne le mot de passe du compte de service (dans un contexte Active Directory). En un mot : le Kerberoasting.

Le calendrier prévu par Microsoft est connu depuis le début de l’année. Il est d’ailleurs documenté dans la KB5073381 et il se déroule en trois étapes :

  • Janvier 2026 : phase d’audit. Neuf événements KDCSVC (201 à 209) apparaissent dans le journal Système des contrôleurs de domaine, et la valeur de registre temporaire permet d’anticiper l’application.
  • Avril 2026 : bascule par défaut de sur AES-SHA1 uniquement () pour les comptes dépourvus d’attribut explicite, avec possibilité de revenir manuellement en mode audit.
  • Juillet 2026 : fin de la récréation et nous y sommes ! Microsoft affirme que “l’installation des mises à jour Windows publiées à partir de juillet 2026 activera de façon programmatique la phase d’application », et que le support de la clé est supprimé.

Ce qu’il faut bien comprendre, c’est que la mise à jour d’avril 2026 a modifié le comportement par défaut du KDC, tandis que celle de juillet retire seulement la possibilité de faire machine arrière. Le comportement ne change pas pour ceux qui ont déjà patché en avril.

La marche à suivre pour identifier vos dépendances vis-à-vis de ce changement est détaillée dans la page Detect and remediate RC4 usage in Kerberos, qui fournit au passage deux scripts PowerShell ( et ) publiés sur le dépôt GitHub Kerberos-Crypto de Microsoft.

Bon courage pour appliquer les correctifs de sécurité !

SOURCE