Multiples vulnérabilités critiques dans les produits Microsoft : des failles activement exploitées

Le CERT-FR, service de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a émis trois avis entre le 19 et le 20 mai 2026 concernant de multiples vulnérabilités dans des produits de Microsoft. Ces failles touchent à la fois le système d’exploitation Windows, des composants Azure Linux (azl3), des applications telles que nginx, PostgreSQL, Vim, ainsi que la plateforme antimalware Microsoft Defender. Plusieurs d’entre elles présentent un niveau de criticité élevé, avec des risques d’exécution de code arbitraire à distance, d’élévation de privilèges, de contournement de la politique de sécurité ou de déni de service.

Failles activement exploitées

L’avis publié le 20 mai (CERTFR-2026-AVI-0623) précise que les vulnérabilités référencées CVE-2026-41091 et CVE-2026-45498 sont activement exploitées par des attaquants. Aucun détail technique n’a été communiqué sur la nature précise de ces attaques, mais l’éditeur a publié des correctifs. Ce même avis concerne également le moteur de protection antimalware de Microsoft et la plateforme Defender, ainsi que des composants Azure Linux tels que le noyau (kernel), Open vSwitch et Python-urllib3. Les risques associés incluent l’exécution de code à distance, l’élévation de privilèges et le déni de service.

Une vulnérabilité avec preuve de概念 publique

L’avis du 20 mai relatif à Microsoft Windows (CERTFR-2026-AVI-0622) signale la vulnérabilité CVE-2026-45585, baptisée YellowKey, pour laquelle une preuve de concept (PoC) est disponible publiquement. Microsoft n’a pas encore publié de correctif pour cette faille, mais propose une mesure de contournement dans son bulletin de sécurité. Cette vulnérabilité affecte Windows 11 versions 24H2, 25H2 et 26H1 pour systèmes x64, Windows Server 2025 (y compris l’installation Server Core) et Windows Admin Center dans Azure Portal (versions antérieures à 0.72.0.0). Elle permet un contournement de la politique de sécurité et uneélévation de privilèges.

Autres vulnérabilités dans des composants Azure

Un premier avis, daté du 19 mai (CERTFR-2026-AVI-0612), liste quinze vulnérabilités affectant les composants Azure Linux 3 (azl3) : gnutls, nginx et PostgreSQL. Le risque n’est pas précisé par l’éditeur, mais des correctifs sont disponibles. Les versions concernées sont : gnutls 3.8.3 antérieures à 3.8.3-9, nginx 1.28.3 antérieures à 1.28.3-2, PostgreSQL 16.12 antérieures à 16.14-1.

Recommandations

Le CERT-FR recommande de se référer sans délai aux bulletins de sécurité de Microsoft pour appliquer les correctifs disponibles. Pour la vulnérabilité YellowKey, la mise en œuvre de la mesure de contournement est préconisée en attendant un correctif officiel. Les organismes utilisant les produits concernés sont invités à surveiller les mises à jour et à renforcer leur vigilance face aux risques d’exploitation.