Record Patch Tuesday de juillet 2026 : 622 failles corrigées dont deux zero-days activement exploitées
Orphée Grandsable
Le 14 juillet 2026, Microsoft a publié son plus gros Patch Tuesday de l’histoire, avec 622 vulnérabilités corrigées. Ce volume triple le précédent record de juin (environ 200 CVE). Parmi elles, deux zero-days sont déjà activement exploitées par des attaquants. Cet article vous guide pour prioriser les correctifs, comprendre les risques et éviter les pièges opérationnels.
Les deux zero-days à corriger en priorité
CVE-2026-56164 : élévation de privilèges dans SharePoint Server
Cette faille permet à un attaquant non authentifié d’élever ses privilèges à distance, sans interaction utilisateur. Microsoft la crédite aux équipes d’incident response de Mandiant et à Google FLARE, ce qui indique une découverte lors d’attaques actives. Si vous utilisez SharePoint Server en version sur site, c’est le correctif à appliquer immédiatement.
Attention : ce 15 juillet 2026 marque également la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, aucun programme ESU (Extended Security Updates) n’est disponible pour ces versions. Les serveurs non patchés deviennent des cibles privilégiées.
“SharePoint a été un aimant à attaquants depuis la chaîne ToolShell qui a dévasté les serveurs non patchés en 2025, et cela n’a pas cessé.” - Source interne Microsoft
Au-delà du correctif, Microsoft recommande d’activer AMSI en mode Full sur le serveur pour atténuer l’attaque. Cette mesure de défense en profondeur peut bloquer les tentatives d’exploitation même si le patch n’est pas encore déployé.
CVE-2026-56155 : élévation de privilèges dans Active Directory Federation Services (AD FS)
Cette seconde faille exploitée permet à un attaquant déjà authentifié d’élever ses privilèges localement via des contrôles d’accès faibles. Microsoft crédite sa propre unité DART (Detection and Response Team). AD FS est le service qui signe les jetons d’authentification pour l’ensemble du domaine Active Directory : une compromission locale sur ce serveur peut avoir des conséquences étendues.
“La gravité d’une faille ne se mesure pas à son score CVSS, mais à la criticité du système touché et à son exposition réelle.”
Microsoft n’a pas précisé quels privilèges sont accordés ni comment les attaquants ont utilisé cette faille. Toutefois, le fait que DART soit crédité suggère une détection lors d’interventions sur incident.
À savoir : aucune de ces deux CVE n’est encore listée dans le catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Microsoft a déjà marqué les deux comme exploitées dans son propre indicateur d’exploitabilité. N’attendez pas une inscription au KEV pour agir.
Une troisième faille et une chaîne d’attaque SharePoint à venir en août
CVE-2026-50661 : contournement BitLocker (divulgué, non exploité)
Cette faille nécessite un accès physique à l’appareil. Elle ne constitue pas une urgence à distance, mais doit être corrigée lors du cycle normal de maintenance. Elle s’inscrit dans une série de contournages BitLocker découverts cette année (bitskrieg, YellowKey).
CVE-2026-55040 : contournement d’authentification JWT dans SharePoint
Rapid7 Labs a divulgué cette faille lors du Pwn2Own Berlin. Le score CVSS varie selon les sources : Rapid7 l’évalue à 5.3 (moyen), tandis que ZDI le lit à 9.1 (critique). L’impact réel est clair : Rapid7 a enchaîné cette faille à une vulnérabilité d’exécution de code à distance (RCE) non encore corrigée pour obtenir une RCE non authentifiée. Microsoft prévoit de corriger la partie RCE en août 2026.
En pratique : le correctif de juillet brise la chaîne d’attaque. Si vous ne patchez pas, un attaquant pourrait exploiter la combinaison dès que la RCE sera divulguée. C’est un cas d’école de la priorisation dynamique : une faille moyenne qui devient critique en contexte.
Le nettoyage RC4 qui peut casser les connexions
Fin du rollback pour le durcissement Kerberos RC4
Ce Patch Tuesday finalise le durcissement de Kerberos entamé en janvier 2026. Le commutateur de rollback RC4DefaultDisablementPhase est supprimé. Après cette mise à jour, RC4 ne fonctionnera que pour les comptes explicitement configurés pour l’utiliser.
Conséquence : tout compte de service qui demande encore des tickets Kerberos RC4 peut échouer à s’authentifier dès l’installation du correctif.
Procédure recommandée
- Auditer : utilisez les événements d’audit RC4 ajoutés par Microsoft en janvier pour identifier les comptes concernés.
- Corriger : changez les mots de passe des comptes de service signalés pour que Windows génère des clés AES.
- Patiner : vérifiez les applications ou clients legacy qui ne parlent que RC4 et planifiez leur mise à jour avant le déploiement.
“Cette mise à jour ne vous fera pas pirater, mais elle vous réveillera à 2h du matin si vous avez sauté l’audit.”
Pourquoi un mois de juillet record ?
Juillet est historiquement l’un des mois les plus calmes pour Microsoft. Ce record s’explique par l’utilisation croissante de l’intelligence artificielle dans la détection des vulnérabilités. Microsoft a prévenu les clients le 9 juillet : “un volume plus élevé de mises à jour de sécurité est à prévoir” grâce à l’IA.
MDASH : le système multi-modèle d’analyse agentique de Microsoft a découvert 16 failles lors du Patch Tuesday de mai. Le nombre exact pour juillet n’a pas été communiqué, mais l’impact est visible.
Répartition des CVE par famille de produits
| Famille de produits | Nombre de CVE | Points d’attention |
|---|---|---|
| Windows | 416 | Zero-day AD FS (CVE-2026-56155), BitLocker bypass (CVE-2026-50661), RCE VMSwitch à 9.9 (CVE-2026-57092), 5 RCE DHCP, 21 bugs driver NTFS/ReFS |
| Office | 82 | Compté une fois (certains sites doublent avec Office 2016) |
| Microsoft Edge | 46 | 21 bugs propres à Microsoft, le reste Chromium |
| Developer Tools | 27 | Contournements de fonctions de sécurité dans Visual Studio, VS Code, GitHub Copilot |
| SharePoint Server | 17 | Zero-day exploité (CVE-2026-56164), contournement JWT (CVE-2026-55040), RCE critique à 9.8 (CVE-2026-50522) |
| Azure | 11 | Rien d’urgent signalé |
| SQL Server | 8 | Paire RCE (CVE-2026-54117 et CVE-2026-54118) à 8.8 |
| Defender | 5 | Deux RCE critiques |
| Exchange Server | 5 | XSS stocké dans Outlook Web Access (CVE-2026-55008) à 9.6 |
| Autres | 5 | Rien d’urgent |
Sources : Microsoft Security Update Guide (622 CVE) et ZDI (621 CVE). Les chiffres par famille proviennent de l’analyse ZDI.
Comment prioriser les correctifs dans un Patch Tuesday à 622 CVE
L’approche traditionnelle ne fonctionne plus
Avec plus de 600 CVE et une part importante classée Haute ou Critique, le score CVSS ne permet plus de trier efficacement. Les deux zero-days de ce mois illustrent parfaitement ce problème : ni l’un ni l’autre n’est un “9.8” médiatique, ce sont des failles de privilèges de niveau intermédiaire, mais elles sont déjà exploitées.
La nouvelle méthode de priorisation
- Identifier les failles exploitées : utilisez le flag “exploité” de Microsoft, le catalogue KEV de la CISA et les scores EPSS (Exploit Prediction Scoring System).
- Analyser l’exposition réelle : une faille dans un service exposé sur Internet (SharePoint, AD FS) est plus critique qu’une faille nécessitant un accès physique.
- Évaluer l’impact métier : une élévation de privilèges dans AD FS peut compromettre toute l’authentification de l’entreprise.
- Tester les correctifs : le durcissement RC4 peut casser des connexions. Testez dans un environnement de préproduction.
- Déployer rapidement : une fois le patch publié, les attaquants peuvent le diffuser pour trouver la faille et construire un exploit. Le délai de sécurité se réduit.
“Quand une version contient 600 CVE et qu’une grande part est classée Haute ou Critique, le terme ‘critique’ ne trie plus rien.”
L’effet “Exploit Wednesday”
L’automatisation de la détection par Microsoft accélère la découverte des failles, mais une fois le patch publié, les attaquants peuvent le comparer à la version précédente, identifier la vulnérabilité corrigée et construire un exploit fonctionnel avant que la plupart des équipes aient terminé leurs tests. Le traditionnel “attendez une semaine” n’est plus viable.
Conclusion : agir vite et prioriser intelligemment
Le Patch Tuesday de juillet 2026 est un tournant. Avec 622 CVE, dont deux zero-days exploitées et un durcissement RC4 qui peut casser des connexions, les équipes de sécurité doivent revoir leur processus de priorisation.
Les actions immédiates :
- Patchez SharePoint Server et AD FS en priorité (CVE-2026-56164 et CVE-2026-56155)
- Auditez les comptes de service utilisant RC4 avant de déployer le durcissement Kerberos
- Surveillez les correctifs à venir en août pour la chaîne d’attaque SharePoint
- Adoptez une méthode de priorisation basée sur l’exploitation réelle (KEV, EPSS) plutôt que sur le score CVSS seul
Le nombre de correctifs ne va faire qu’augmenter avec l’IA. Préparez vos équipes, automatisez vos tests et réduisez vos délais de déploiement. La sécurité ne se joue plus sur le score, mais sur la vitesse et la pertinence de votre réponse.