Ep.664 - RadioCSIRT Édition Française - Édition spéciale Patch Tuesday de juin 2026

🪟 Microsoft publie un Patch Tuesday massif pour juin 2026 : 200 vulnérabilités corrigées sur son seul périmètre, dont 33 critiques. La ventilation fait ressortir 65 élévations de privilèges, 55 exécutions de code à distance, 30 divulgations d'information, 27 Spoofing, 19 contournements de sécurité et 7 dénis de service. Le décompte exclut les 360 failles Edge et Chromium traitées par Google ce mois-ci.

🔓 Première Zero-Day divulguée, la CVE-2026-45586 vise le Windows Collaborative Translation Framework, alias CTFMON. Un défaut de résolution de lien, le link following, permet à un attaquant authentifié d'élever localement ses privilèges jusqu'au niveau SYSTEM. Microsoft attribue la découverte à un chercheur anonyme et n'a relevé aucune exploitation active.

💥 Deuxième Zero-Day, la CVE-2026-49160, baptisée HTTP/2 Bomb par les chercheurs de Calif, est un déni de service dans HTTP.sys. En détournant la compression des en-têtes HTTP/2, un attaquant non authentifié force le serveur à allouer une mémoire disproportionnée, puis la maintient mobilisée via le contrôle de flux. Microsoft introduit le paramètre de registre MaxHeadersCount pour limiter le nombre d'en-têtes acceptés.

🔑 Troisième Zero-Day, la CVE-2026-50507 contourne BitLocker par attaque physique. Il s'agit du correctif de la faille YellowKey, divulguée par le chercheur Nightmare Eclipse : des fichiers déposés sur une clé USB ou la partition EFI, puis un démarrage en environnement WinRE avec la touche CTRL maintenue, ouvraient un shell donnant accès aux disques chiffrés. Sont visés les systèmes en protection TPM seul sous Windows 11 et Server 2022/2025.

🖥️ Le Remote Desktop Client concentre une douzaine d'exécutions de code à distance, dont sept critiques, parmi lesquelles les CVE-2026-42985, 2026-47289 et 2026-44801. Le scénario type vise le poste client lors d'une connexion vers un serveur RDP malveillant ou compromis.

📄 La suite Office aligne une longue série de RCE critiques, notamment sur le couple Outlook et Word, avec les CVE-2026-45458, 2026-47635 et 2026-45456. Le vecteur reste le document piégé, le risque du volet de prévisualisation d'Outlook en ligne de mire.

🧩 L'infrastructure critique n'est pas épargnée : Hyper-V écope de RCE critiques pouvant mener à une évasion de machine virtuelle, le KDC Kerberos est touché par la CVE-2026-47288, et les Active Directory Domain Services par la CVE-2026-45648, deux failles au cœur des contrôleurs de domaine. Secure Boot et UEFI cumulent par ailleurs une dizaine de contournements de la chaîne de confiance au démarrage.

Sources :

• Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-juin-2026/
• Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/ 
• CVE-2026-45586 (Windows CTFMON Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586 
• CVE-2026-49160 (HTTP.sys Denial of Service) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160 
• CVE-2026-50507 (Windows BitLocker Security Feature Bypass) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507 
• CVE-2026-41108 (Windows DNS Client Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108 

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #ZeroDay #CVE202645586 #CTFMON #ElevationOfPrivilege #CVE202649160 #HTTP2Bomb #DenialOfService #HTTPsys #CVE202650507 #BitLocker #YellowKey #NightmareEclipse #SecureBoot #UEFI #RemoteDesktop #RDP #RCE #Office #Outlook #HyperV #Kerberos #KDC #ActiveDirectory #CVE202641108 #WindowsDNS #PatchManagement #RadioCSIRT