📆 Édition du Lundi 18 mai 2026
Trois dossiers Microsoft sur ton bureau cette semaine :
Patch Tuesday - Mai 2026 : premier sans Zero-Day depuis juin 2024, MAIS trois RCE pré-authentifiées à CVSS 9.8+ — dont Netlogon ciblant les DC. Sans urgence "in-the-wild", c'est la fenêtre où les défenseurs gagnent. Si tu ne patches pas vite, tu donnes l'avance aux attaquants.
Combo RDS & RDP : deux CVE qui s'enchaînent — RDS EoP SYSTEM côté serveur (CVE-2026-40398) et Win32K RCE côté client via .rdp malveillant (CVE-2026-40403). RDP est dans le top 3 des vecteurs ransomware depuis 5 ans. Si tu opères RDS, des jump boxes, de l'AVD ou du Windows 365, tu patches les deux côtés cette semaine — pas la suivante.
Secure Boot J-41 : le 9 juin = dernier Patch Tuesday avant expiration des certificats 2011. Si tu n'as pas commencé à déployer les certificats 2023 sur ton parc, tu as 41 jours pour rattraper ça avant le 26 juin.
Trois urgences vitales. Maintenant, place à la consultation hebdo.
🔴 À traiter maintenant
4 urgences cette semaine. Si tu fais une seule chose après cette édition, fais celle-ci.
CVE-2026-41089 — Windows Netlogon RCE sur DC. CVSS 9.8, pre-authentifiées, exploitable via requête réseau vers un Domain Controller. Patcher TOUS tes DC dans la même fenêtre de maintenance, restreindre Netlogon au niveau réseau (un DC n'a pas à accepter Netlogon depuis n'importe quel segment). 👉 Lire la suite
Entra Connect Hard-Match block — J-14 (deadline 1er juin 2026). Entra Connect Sync et Cloud Sync bloquent tout hard-match entre un user AD entrant et un Cloud user détenant un rôle Entra (mitigation SyncJacking, vulnérabilité MSRC confirmée Important EoP) 👉 Lire la suite
Secure Boot certificate 2011 expiration — J-41 (deadline 26 juin 2026). Le 9 juin sera le dernier Patch Tuesday avant la deadline. Continuer le déploiement des certificats 2023 immédiatement, vérifier le statut Secure Boot sur l'ensemble du parc Azure et On-Prem, valider les Firmware OEM ce mois-ci. 👉 Lire la suite
CVE-2026-42897 — Exchange Server Spoofing : pas de SU en mai, hotfix manuel obligatoire. Microsoft n'a PAS sorti de Security Update Exchange ce mois-ci — la mitigation passe par le Hotfix Update Exchange SE de mai (HU6, sorti le 7 mai) + la guidance officielle de l'équipe Exchange. 👉 Lire la suite
⚡ Ce qui brûle — 3 sujets cette semaine
Patch Tuesday : 0 zero-day depuis 23 mois, mais 3 RCE pré-authentifiées à 9.8+
Premier Patch Tuesday sans Zero-day depuis juin 2024. Sans urgence in-the-wild, c'est la fenêtre où les défenseurs gagnent — si tu patches vite. Le trio à retenir au-delà de Netlogon (déjà en À traiter) :
CVE-2026-41096 — DNS Client. Surface massive (tous les Windows), exploitation via réponse DNS malveillante.
CVE-2026-42898 — Dynamics 365 On-Prem. CVSS 9.9, zéro interaction utilisateur, le moins médiatisé mais le plus critique.
Le piège : patcher « le tapis Patch Tuesday » sans hiérarchiser → Dynamics On-Prem oublié six semaines, Hyper-V laissé en pile basse. Le tri est l'enjeu cette semaine, pas le volume 👉 Lire l'analyse complète
Hyper-V CVE-2026-40402 Critical : VM escape vers le host
Un attaquant qui contrôle une VM (compromise, ou tenant non fiable) peut s'échapper vers le host physique sous-jacent. Microsoft classe en « Exploitation Less Likely », mais l'impact est total : un host compromis = toutes les VMs du host compromises.
Trois scénarios où ça change ta semaine :
Hosters Multi-Tenant — impératif
Session hosts AVD partagés — impératif
Clusters Hyper-V On-Prem qui hébergent Workloads internes ET invités externes ou Contractors — souvent oublié dans la cartographie
À patcher dans la même fenêtre de maintenance que tes DC. Pas après 👉 Lire l'analyse complète
Hybrid Identity en mutation : 3 annonces la même semaine
Trois annonces Hybrid Identity la même semaine, ce n'est pas un hasard. Microsoft accélère la sortie de l'hybride « lourd » tout en gardant des ponts Cloud pour les composants Legacy.
MIM 2016 SP3 (14 mai) — support Azure SQL via managed identities. Pont MIM → Cloud, réduction dette on-prem.
Exchange writeback cloud-managed Public Preview (15 mai) — fin annoncée du sync writeback obligatoire on-prem.
Entra Face Check (11 mai) — biométrie pour onboarding, access requests, account recovery.
Si tu pilotes une migration Entra Connect Sync → Cloud Sync (deadline 30 septembre 2026), ces trois annonces redessinent ton plan. Article HowTo dédié sur le blog cette semaine 👉 Lire l'analyse complète
📖 Sur le blog cette semaine
💡 Nouveau format mensuel sur le blog — à partir de ce mois, je publie un REX par mois sur un projet réel mené avec l'équipe de mon cabinet de conseil A2i Technologies. Architecture Azure, décisions, erreurs assumées, ce qu'on referait autrement.
👉Premier REX en ligne : Move2Cloud — 300 VMs et 40 bases SQL migrées vers Azure en 7 mois (secteur distribution, 3 500 collaborateurs, 38% d'économies) 👉 Lire le REX
🩺 Pré-commande eBook Azure Application Gateway. Fenêtre -30% ferme demain soir
47 consultants et architectes Azure ont déjà pré-commandé l'ebook Azure Application Gateway. Tu as 36 heures pour les rejoindre au prix de lancement 😉
Ce qui t'attend mercredi 20 mai si tu pré-commandes maintenant :
📘 485 pages, 19 chapitres — du Load balancing L7 au DR Multi-régions
🩺 Top 14 pathologies AGW cataloguées (symptômes → diagnostic → runbook)
Journal de mission F5 → AGW : 4 mois (déroulé exact de la mission), chez un
industriel français (bonus : 6 livrables ready-to-use inclus)🛠️ 5 annexes Ops directement utilisables en prod
Le 19 mai à 23h59, la fenêtre se ferme.
🔍 Actualités “On-Prem & Hybride”
⭐Active Directory
CVE-2026-41096 — Windows DNS Client Remote Code Execution (CVSS 9.8)
Heap-based buffer overflow exploitable via réponse DNS malveillante. Un attaquant en position d'influencer les réponses DNS (MitM, rogue DNS server) peut déclencher une RCE unauth sur n'importe quelle machine Windows. La surface est massive — le DNS Client tourne sur l'intégralité de l'estate Windows. En savoir plus
CVE-2026-35438 — Windows Admin Center Elevation of Privilege
Missing authorization permettant à un attaquant authentifié d'élever ses privilèges via le réseau. WAC orchestre AD et serveurs sensibles : ne pas négliger. En savoir plus
CVE-2026-33834 — Windows Event Logging Service EoP
Improper access control sur le service Event Logging. L'attaquant authentifié élève ses privilèges localement. Les EVT logs étant forensic-critical, une compromission de ce service ouvre la porte à l'effacement des traces. En savoir plus
⭐ Virtual App & Desktop (RDS /RDP)
CVE-2026-40398 — Windows Remote Desktop Services Elevation of Privilege (CVSS 7.8)
Vulnérabilité d'élévation de privilège dans le service Remote Desktop Services. Un attaquant authentifié à faible privilège, ayant établi une session RDP, peut exploiter une faille dans la validation des tokens d'accès du service RDS pour obtenir des privilèges SYSTEM. Pas d'interaction utilisateur requise au-delà du logon initial. Microsoft classe cette CVE en "Exploitation Less Likely" et pas de zero-day ni de PoC public au moment du patch, mais les CVE d'EoP RDS finissent historiquement dans les toolkits ransomware quelques semaines après la publication du correctif. Impact direct sur tes RDS farms, tes jump boxes, et toute Session Host Windows Server qui sert plusieurs utilisateurs. Prioriser le déploiement sur les terminal servers d'abord, dans le ring de pilote 👉 En savoir plus
CVE-2026-40403 — Win32K-GRFX RCE via Remote Desktop Server malveillant
Heap-based buffer overflow dans Win32K-GRFX, le moteur graphique kernel-mode de Windows. Microsoft documente un vecteur RDP explicite dans le scénario d'exploitation : un attaquant qui contrôle un Remote Desktop Server peut déclencher une exécution de code à distance sur la machine d'une victime, au moment où cette victime se connecte à son serveur avec un Remote Desktop Client vulnérable. Autrement dit, ton utilisateur qui clique sur un .rdp pointant vers un serveur compromis, et c'est son poste client qui se fait exécuter du code en kernel. À patcher côté serveurs ET clients RDP, sans exception 👉 En savoir plus
SQL Server
SQL Server : la correction automatique des plans de requête met fin aux régressions silencieuses
Microsoft met en lumière l'Automatic Plan Correction de SQL Server, une fonctionnalité capable de détecter et corriger automatiquement les régressions de plans d'exécution avant qu'elles n'impactent les performances en production. Une bouée de sauvetage pour les DBAs qui passaient des heures à traquer ces dégradations invisibles mais dévastatrices pour les applications critiques. Lire la suite
Microsoft 365 Apps
4× CVE Microsoft Word RCE critiques exploitables via Preview Pane
CVE-2026-40361, 40363, 40364, 40366 — quatre RCE critiques dans Word, toutes exploitables sans ouverture du fichier, juste via le Preview Pane d'Outlook ou Explorer. Si tes utilisateurs reçoivent régulièrement des PJ externes, c'est priorité haute. En savoir plus
CVE-2026-41614 — M365 Copilot for Desktop Spoofing
Improper access control permettant à un attaquant non authentifié d'effectuer du spoofing local sur Copilot Desktop. À surveiller dans les déploiements Copilot M365. En savoir plus
CVE-2026-41100 / 41101 / 41102 — M365 Copilot, Word, PowerPoint for Android Spoofing
Trois CVE de spoofing local sur les apps M365 Android (Copilot, Word, PowerPoint). Improper access control commun. À pousser en MDM Intune. En savoir plus
CVE-2026-32185 — Microsoft Teams Spoofing
Files ou répertoires accessibles à des tiers non autorisés dans Teams, permettant un spoofing local. En savoir plus
Exchange /Messaging
CVE-2026-42897 — Exchange Server Spoofing : pas de SU en mai, guidance hotfix manuel
Microsoft n'a PAS publié de Security Update Exchange ce mois-ci. La mitigation de CVE-2026-42897 (Spoofing via XSS, neutralisation inadéquate des inputs lors de la génération de pages web) passe par le Hotfix Update Exchange SE de mai 2026 (HU6, sorti le 7 mai) couplé à la guidance manuelle de l'équipe Exchange. Si tu administres Exchange Server SE /2019 /2016, lis le billet officiel attentivement avant d'appliquer. En savoir plus
Writeback for Cloud-Managed Remote Mailboxes — Public Preview
Exchange Online passe en Public Preview le writeback pour les remote mailboxes cloud-managed. C'est la fin annoncée du sync writeback obligatoire on-prem : un cap stratégique pour les architectures hybrides. Tester en preview sur un sous-ensemble pour valider la compatibilité avant GA. En savoir plus
5 RCE Critical SharePoint Server (CVE-2026-35439 / 40365 / 40368 / 33110 / 33112)
Cinq RCE critiques liées à la désérialisation de données non fiables dans SharePoint Server. CVE-2026-40365 est particulièrement dangereuse : un simple Site Owner suffit pour exécuter du code à distance via une attaque réseau. À patcher en priorité dans tous les déploiements SharePoint on-prem. En savoir plus
Sécurité /PKI
CVE-2026-40377 — Microsoft Cryptographic Services EoP
Heap-based buffer overflow dans les Windows Cryptographic Services. L'attaquant authentifié élève ses privilèges localement. En savoir plus
MDASH — multi-model agentic scanning publié par Microsoft Security
Microsoft publie les résultats d'un harnais d'AI scanning multi-modèle (codename MDASH) testé en rétrospectif sur 5 ans de cas MSRC. Recall 96% sur clfs.sys (28 cas), 100% sur tcpip.sys (7 cas). Première publication chiffrée rétroactive de ce type. Le programme est en private preview limitée — la phase "AI sec = hype" est terminée. En savoir plus
Microsoft Defender predictive shielding contre ransomware
Les ransomwares modernes se fondent dans les opérations IT légitimes pour distribuer leur payload. Defender pour Endpoint disrupte proactivement via un mécanisme de "predictive shielding". Étude de cas et insights threat intelligence. En savoir plus
Undermining the trust boundary — abus de HPE Operations Agent signé
Microsoft documente une intrusion stealth via HPE Operations Agent (signé, approuvé en entreprise) utilisé comme vecteur de persistance. Aucun malware lourd, juste l'abus d'une relation de confiance tierce. À lire pour calibrer ton posture vis-à-vis des outils admin signés. En savoir plus
Linux
Red Hat Long-Life Add-On — support multi-décennie RHEL
Annoncé au Red Hat Summit 2026 le 12 mai. Renouvelable annuellement, le service délivre patches critiques, urgent bug fixes et support 24/7 sur des versions RHEL au-delà des 14 ans de support standard. Cible explicite : telecom, healthcare, aerospace, defense. Lecture stratégique : Red Hat lit la pression infra-cost / IT-stretched et propose une porte de sortie aux migrations forcées par calendrier vendor. En savoir plus
🔍 Actualités “Azure”
⭐ Entra ID
Conditional Access — changement d'application pour les Policies à exclusions de ressources (deadline 15 juin 2026, J-29) Aujourd'hui, une CA Policy ciblant « All resources » avec exclusions n'est PAS appliquée pour les sign-ins via apps demandant uniquement OIDC scopes ou directory scopes limités. À partir du 15 juin, elle SERA appliquée — y compris quand des resource exclusions sont présentes. Audite toutes tes CA policies « All resources » avec exclusions avant la deadline 👉 En savoir plus
Conditional Access — évaluation pendant l'enregistrement des credentials (rollout actif depuis fin avril) Les CA policies scopées sur le user action « Register security information » sont maintenant évaluées pendant l'enregistrement de Windows Hello for Business et macOS Platform SSO — plus seulement au sign-in. Risque concret : bloquer un user en provisioning initial sur un nouveau device si ta policy demande une méthode qu'il n'a pas encore. Auditer tes policies avant déploiement Windows Hello pour éviter les blocages en initial enrollment 👉 En savoir plus
PIM — Conditional Access sur l'activation de rôle (GA mai 2026) Privileged Identity Management supporte maintenant l'application de policies Conditional Access au moment de l'activation d'un rôle privilégié. Tu peux exiger MFA, compliant device ou autre contrôle CA quand un user active Global Admin ou un autre rôle Entra. Hardening Zero Trust direct sur les flow admin — à activer dans toutes les orgs qui n'ont pas encore renforcé ce vecteur 👉 En savoir plus
Sécurité
CVE-2026-33109 / 33844 — Azure Managed Instance for Apache Cassandra RCE Critical
Deux CVE critiques sur Azure Managed Instance for Apache Cassandra. CVE-2026-33109 : improper access control permet à un attaquant authentifié d'exécuter du code via réseau. CVE-2026-33844 : improper input validation, même impact. CVSS 9.9 selon les rapports tiers. En savoir plus
CVE-2026-32204 — Azure Monitor Agent Elevation of Privilege
External control of file name/path dans Azure Monitor Agent, permettant à un attaquant autorisé d'élever ses privilèges localement. L'agent étant largement déployé pour la télémétrie Azure, prioriser le déploiement de la version corrigée. En savoir plus
CVE-2026-33833 — Azure Machine Learning Notebook Spoofing
Improper neutralization permettant un spoofing réseau sur Azure ML Notebook. À surveiller dans les déploiements ML Studio. En savoir plus
CVE-2026-33117 — Azure SDK for Java Security Feature Bypass
Improper authentication permet à un attaquant non autorisé de contourner une feature de sécurité via réseau. À patcher dans les apps Java consommant Azure SDK. En savoir plus
Virtual App & Desktop (AVD / Windows 365)
Combo CVE impactant directement AVD et Windows 365 — synthèse opérationnelle
Si tu opères Azure Virtual Desktop ou Windows 365, trois CVE du Patch Tuesday de mai te concernent en combo. Côté hôtes : CVE-2026-40402 (Hyper-V Critical, VM escape vers le host) impacte les session hosts AVD et les hôtes physiques sous-jacents à Windows 365 (Microsoft patche côté plateforme, mais valide ton estate avec Trusted Launch activé). Côté service : CVE-2026-40398 (RDS EoP) impacte les session hosts AVD partagés, à patcher dans tes images. Côté clients : CVE-2026-40403 (Win32K RCE via RDP) impacte Windows App, Remote Desktop Client et tout poste se connectant à un AVD/W365. En savoir plus
Windows 365 Cloud PC — patching automatique mais clients à vérifier
Les Cloud PC Windows 365 héritent automatiquement des cumulative updates Windows 11 (KB5089549 pour 25H2/24H2, KB5087420 pour 23H2) sans action admin. En revanche, tes endpoints qui consomment le Cloud PC — Windows App sur Windows/Mac/iOS/Android, navigateur web, Windows 365 Link — doivent être patchés indépendamment pour couvrir CVE-2026-40403. Vérifie que ton MDM Intune a poussé les dernières versions de Windows App (1.2.7152.0 minimum sur Windows depuis le 5 mai). En savoir plus
AVD session hosts et la deadline Secure Boot J-41
Si tu utilises Trusted Launch sur tes session hosts AVD, Secure Boot est déjà activé par défaut (requis depuis la création). Si tu utilises encore des images legacy en Standard Security Type, la deadline du 26 juin t'oblige à valider la chaîne de confiance et à migrer vers Trusted Launch dans les prochaines semaines — ou à accepter que tes hosts ne pourront plus valider les boot certificates 2011. La commande Az CLI de cette édition te liste directement tes session hosts AVD concernés. En savoir plus
Compute
CVE-2026-40402 — Windows Hyper-V Elevation of Privilege Critical
VM-to-host escape via device registers. Critique en multi-tenant, AVD, hosters, et tout environnement Hyper-V avec workloads non fiables. À patcher sur tous les hôtes Hyper-V dans la fenêtre de maintenance. En savoir plus
Databases
TLS Certificate Pinning et best practices dans Azure OSS Relational Databases
L'équipe Core Infrastructure publie un guide détaillé sur l'impact du certificate pinning dans la validation TLS pour Azure Database for PostgreSQL, MySQL Flexible Server et MariaDB. Recommandation : passer en CA-based trust plutôt qu'en pinning de cert spécifique, pour des connexions rotation-resilient. À intégrer dans les checklists d'architecture Azure DB. En savoir plus
Microsoft Identity Manager 2016 SP3 — support Azure SQL via managed identities
MIM 2016 reçoit son SP3 avec mises à jour de compatibilité plateforme et surtout le support Azure SQL Database via managed identities pour le Sync Service. C'est le signal qu'on garde MIM viable encore quelques années, tout en réduisant la dette infrastructure On-Prem (plus besoin de SQL Server local). En savoir plus
DevOps
Azure DevOps Server — nouveaux patches self-hosted
Nouveaux patches publiés pour Azure DevOps Server self-hosted. Microsoft recommande fortement de rester à jour sur la dernière version sécurisée. À tester en pré-prod avant déploiement. En savoir plus
Azure SDK for Rust — stable release
Release stable des libs Core, Identity, Key Vault (Secrets, Keys, Certificates) et Storage (Blobs, Queues) pour Rust. Cap pour les équipes développant des workloads Azure en Rust. En savoir plus
Management & Gouvernance
Azure Reserved VM Instances — retirement de SKUs select au 1er juillet 2026
Plus de nouvelle réservation ni de renouvellement pour les SKUs select à partir du 1er juillet. Les réservations existantes restent valides jusqu'à leur fin de terme. Si tu pilotes une stratégie de réservation, planifie maintenant le pivot vers les SKUs supportés. En savoir plus
AZ-500 certification retirement — 31 août 2026, remplacée par SC-500
AZ-500 (Azure Security Engineer Associate) part en retraite fin août. La SC-500 (Cloud and AI Security Engineer Associate) est en beta dès mai 2026, GA juillet. Les certifications AZ-500 existantes restent valides jusqu'à la retraite. À intégrer dans le plan de formation des équipes sécurité Azure. En savoir plus
AI + Machine Learning
CVE-2026-41109 — GitHub Copilot + VS Code Security Feature Bypass
Improper neutralization de caractères spéciaux dans la chaîne downstream. Bypass de feature de sécurité via réseau. Impact direct sur les workflows Copilot + VS Code. En savoir plus
CVE-2026-41610 / 41611 / 41612 — Visual Studio Code (Bypass, RCE local, Info Disclosure)
Trois CVE sur VS Code : XSS-related bypass, RCE locale via tags HTML script-like, et information disclosure via path traversal. Mettre à jour VS Code en priorité sur tous les postes développeurs. En savoir plus
La commande “Az CLI” de la semaine !
Lister toutes les VMs Azure où Secure Boot n'est PAS activé (avant la deadline du 26 juin)
az graph query -q "Resources \
| where type =~ 'Microsoft.Compute/virtualMachines' \
| where properties.securityProfile.uefiSettings.secureBootEnabled != true \
| project name, resourceGroup, location, vmSize=properties.hardwareProfile.vmSize \
| order by resourceGroup asc"Ce que la commande retourne :
La liste de toutes les VMs (toutes souscriptions accessibles) où Secure Boot n'est PAS activé
Le resource group, la région et la taille de chaque VM concernée
Trié par RG pour faciliter le tri et l'attribution aux équipes
Base directe pour un plan de remédiation avant le 26 juin 2026
Mème de la semaine !
Tu es arrivé au bout de ta prescription, sans effets secondaires 😄
Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙
À lundi prochain.
— Doctor Kloud 🩺
