📆 Édition du Mardi 26 Mai 2026

Microsoft a juré qu'il n'y avait aucun zero-day à son Patch Tuesday du 12 mai. 48 heures plus tard, un zero-day Exchange exploité tombait. Cette semaine, trois de plus. Voilà ce qu'il faut lire entre les lignes :

  1. La sécurité Windows prend feu : Un zero-day Exchange OWA toujours sans patch (exploité, deadline CISA le 29 mai), deux failles Defender exploitées dans la nature patchées en catastrophe le 21, et YellowKey, un bypass BitLocker avec PoC public et zéro correctif. Une semaine post-Patch Tuesday n'est jamais calme.

  2. Azure Files Entra-Only passe en GA : du SMB Kerberos sans aucun contrôleur de domaine. L'identité sort de ton AD, et le mur Hard-Match se ferme le 1er juin.

  3. Le hotpatch Windows Server 2025 via Arc devient gratuit : ce n'est pas un cadeau, et je vais t’expliquer la stratégie de Microsoft juste après.

Le reste, c'est du tri. On y va.

🔴 À traiter maintenant

Trois urgences cette semaine, et cette fois, ce ne sont pas des deadlines de migration confortables : ce sont des failles activement exploitées ou avec PoC public, dont deux sans patch. Si tu fais une seule chose après cette édition, fais celle-ci :

  • Exchange Server On-Prem : applique la mitigation OWA aujourd'hui. Le zero-day CVE-2026-42897 (XSS dans Outlook Web Access, CVSS 8.1) est exploité dans la nature et il n'existe aucun patch permanent. Un mail piégé ouvert dans OWA exécute du JavaScript dans la session de la victime : vol de jeton, usurpation de boîte, pivot vers SharePoint et Teams. Touche Exchange 2016, 2019 et SE. CISA exige la mitigation pour le 29 mai. 👉 En savoir plus

  • Defender : force la mise à jour du Malware Protection Engine. Trois failles corrigées par un seul patch out-of-band le 21 mai : RedSun (CVE-2026-41091, 7.8) et UnDefend (CVE-2026-45498), toutes deux exploitées (Huntress l'a vu en intrusion réelle), plus un Heap RCE (CVE-2026-45584, 8.1). RedSun fait passer un compte standard en SYSTEM ; UnDefend coupe silencieusement les mises à jour de définitions. Vérifie que ton moteur est au-delà de 1.1.26030.3008. CISA : 3 juin. 👉 En savoir plus

  • BitLocker : neutralise YellowKey sur tes flottes mobiles. CVE-2026-45585 (CVSS 6.8) : un PoC public abuse le Windows Recovery Environment pour ouvrir un shell sur un volume chiffré, avec un simple accès physique et une clé USB. Pas de patch — mitigation seulement. Retire autofstx.exe du hive WinRE, ou bascule en TPM+PIN (Microsoft confirme que ça bloque l'exploit). Touche Win11 24H2/25H2/26H1 et Windows Server 2025. 👉 En savoir plus

⚡ Ce qui brûle — 3 sujets cette semaine

Nightmare-Eclipse : 6 zero-days en 6 semaines, et une rancune contre Microsoft

Mon avis : c'est le sujet de fond de la semaine, pas juste trois patchs à poser. RedSun, UnDefend et YellowKey viennent d'un seul chercheur — Nightmare-Eclipse — qui balance des zero-days sur le cœur de la sécurité Windows en représailles contre le MSRC, 6 en 6 semaines. Le problème n'est pas la vitesse de patch : ce sont précisément Defender et BitLocker, tes dernières lignes, qu'il sait éteindre ou contourner. Alors quand ta défense repose sur l'endpoint que l'attaquant désactive d'un clic, sur quoi tu t'appuies vraiment ?👉 En savoir plus

Azure Files Entra-Only en GA : ton File Server SMB peut désormais vivre sans AD

Au milieu du feu sécurité, Microsoft a fait passer un cap discret mais lourd : Azure Files en GA permet du SMB Kerberos en Entra ID pur, sans aucun contrôleur de domaine. Pendant des années, le SMB t'a cloué à ton AD on-prem — c'était LA dépendance qu'on n'arrivait pas à couper, et elle devient optionnelle. Et ce n'est pas isolé : le 1er juin, Entra bloque le hard-match des objets à rôles — Microsoft pousse l'identité hors de ton datacenter des deux mains. La vraie question n'est plus de savoir si c'est possible, mais : qu'est-ce qui te retient encore sur ton AD, exactement ? 👉 Consulter l’article détaillé

Le Hotpatch Windows Server 2025 via Arc devient gratuit, mais attention …

Microsoft vient de retirer le péage de 1,50 $/cœur/mois posé sur le hotpatch en juillet 2025, gratuit depuis le 19 mai. Mon avis : ce n'est pas de la générosité. La gratuité ne marche qu'à une condition — ton serveur rattaché à Azure Arc — et c'est exactement là que Microsoft se rembourse, largement. La seule vraie question : ce qu'il récupère en échange de tes reboots économisés, es-tu prêt à le lui donner ? 👉 En savoir plus

📖 Sur le blog cette semaine

🔍 Actualités “On-Prem & Hybride”

Active Directory

Rattrapage Patch Tuesday du 12 mai : 5 RCE SharePoint + Netlogon, à patcher si ce n'est pas fait

Plusieurs RCE SharePoint Server critiques (CVE-2026-40365 en tête, KB5002870 pour 2019) flaggées « Exploitation More Likely », plus un Netlogon RCE (CVE-2026-41089) côté DC. Si tes fermes et tes contrôleurs ne sont pas à jour, la fenêtre d'exposition est ouverte. 👉 Consulter la suite

Exchange

Le Hotfix Exchange Server SE de mai bascule l'hybride vers Graph

Le HU6 (KB5081755) ajoute le support Microsoft Graph pour la coexistence hybride (free/busy, photos, MailTips), en remplacement d'EWS — étape à finaliser avant le soft-block d'EWS Online le 1er octobre 2026. 👉 Explorer davantage

M365 Apps & Teams

Les O365 Connectors dans Teams sont retirés pour de bon

Fin de la dépréciation depuis le 18 mai. Si tu avais encore des webhooks entrants qui poussaient des notifs dans des canaux, ils sont morts — bascule vers Workflows.

SharePoint

SharePoint pousse l'IA dans les pages

AI Charts web part (graphiques par prompt) et AI Citations Analytics (combien tes docs sont cités par Copilot) en rollout mi-mai.

🔍 Actualités “Azure”

Réseau

VPN Gateway — User Groups et IP address pools pour connexions P2S — GA (21 mai)

La segmentation des pools d'adresses IP P2S par groupe utilisateur Entra ID passe en GA. Les connexions P2S peuvent désormais assigner des plages IP différentes selon le groupe d'appartenance Entra — utile pour les architectures Zero Trust hub-spoke qui ont besoin de politiques réseau différenciées par équipe sans multiplier les gateways. En savoir plus

VPN Gateway — Site-to-site avec authentification par certificat — GA (20 mai)

Les tunnels VPN S2S peuvent désormais utiliser des certificats pour l'authentification à la place des Pre-Shared Keys. Renforce la posture Zero Trust sur les connexions hybrides et élimine la gestion manuelle des PSK qui représentent un vecteur de fuite de credentials. En savoir plus

Azure Virtual Network — limites NSGs et route tables augmentées — GA (19 mai)

Microsoft relève les limites par défaut pour les NSGs et les tables de routage dans Azure VNet. Soulage les contraintes dans les architectures hub-spoke complexes où les plafonds actuels forçaient à des workarounds d'agrégation de règles. En savoir plus

Network Watcher rule impact analyser — GA (19 mai)

Analyse l'impact d'un changement de règle NSG avant de le déployer en production. Identifie les flux qui seraient bloqués ou autorisés par la nouvelle règle sans affecter le trafic réel. Réduit le risque de coupure réseau non planifiée lors des modifications de sécurité réseau. En savoir plus

Sécurité

Agent 365 Connector — Microsoft Sentinel pour surveiller les agents Copilot/M365

Nouveau connector Sentinel qui ingère les logs d'activité des agents Copilot et M365. Permet de créer des règles de détection, chasser les comportements anormaux et investiguer les incidents liés aux agents AI dans ton tenant. Dans le contexte de déploiements Copilot M365 croissants, c'est le premier outil de surveillance native des agents dans Sentinel — à activer dès le début du déploiement Copilot pour construire une baseline comportementale. 👉 En savoir plus

Sentinel → portail Defender : une décision d'architecture, pas un changement de portail

Blog rafraîchi le 18 mai : pages d'entités unifiées, multi-tenant MSSP. Jalons à noter — API « repositories » content-as-code retirées le 15 juin 2026, portail Azure le 31 mars 2027. 👉 En savoir plus

Identity

Platform SSO during automated device enrollment macOS — GA (18 mai)

Le SSO macOS via Entra ID se configure désormais automatiquement pendant l'enrollment Intune, sans intervention de l'utilisateur final. Concrètement : les Macs rejoignent l'organisation et s'authentifient en SSO sans étape manuelle post-enrollment. Réduit la friction d'onboarding pour les flottes Mac et élimine les tickets support liés aux configurations SSO incomplètes. En savoir plus

Entra ID token refresh pour Azure Database for PostgreSQL (Python, .NET, JavaScript) — 20 mai

Le token refresh Entra ID est désormais intégré nativement dans les SDKs Python, .NET et JavaScript pour Azure Database for PostgreSQL. Élimine les workarounds manuels de renouvellement de token en prod et réduit les interruptions d'accès DB liées à l'expiration de token. À intégrer dans les configurations d'authentification des apps qui n'utilisent pas encore ce pattern. En savoir plus

Virtual App & Desktop /EUC

Azure Virtual Desktop Hybrid en public preview

On le garde au radar (notre sweet spot) : AVD peut faire tourner des session hosts on-prem via Azure Arc, sur ton hyperviseur existant. 👉 En savoir plus

Admin Insights pour Windows 365 dans Intune

Monitoring des Cloud PC directement depuis Intune — connexions et santé des sessions sans quitter la console.

Containers

AKS — Argo CD extension en Public Preview (20 mai)

Argo CD, le moteur GitOps de référence, s'intègre directement dans l'expérience portail AKS. Déploiement et gestion GitOps sans sortir du portail Azure, avec synchronisation native entre les repos Git et les clusters AKS. En savoir plus

Azure Kubernetes Fleet Manager — networking cross-cluster (22 mai)

Le réseau cross-cluster transparent pour les workloads multi-cluster AKS via Fleet Manager. Permet à des services déployés sur des clusters différents de se découvrir et de communiquer sans configuration réseau manuelle complexe. En savoir plus

AI + Machine Learning

Purview DLP arrive sur Microsoft 365 Copilot

En preview : des règles DLP qui empêchent Copilot de traiter certains contenus, par exemple bloquer le traitement d'emails externes. Premier vrai cran de gouvernance sur ce que Copilot a le droit de lire.

🤔 Ce qu'on ignore cette semaine

Cette semaine j'ai écarté le bruit de fond CVE Linux /BIND 9 /rsync du flux MSRC (scope Azure Linux marginal pour un parc Microsoft), les RCE Office/Word/Excel et Dynamics du Patch Tuesday du 12 mai (déjà couverts), GreenPlasma (la 3e variante Nightmare-Eclipse annoncée mais sans détails fiables, je ne brode pas), et les GA Azure de début mai, hors de notre fenêtre de 7 jours. Pas par paresse, par tri. Et non, après le balayage complet : la semaine n'était pas calme.

La commande “Az CLI” de la semaine !

Liste tes serveurs Arc : Parc éligible au HotPatch gratuit et posture de patch

Entre le hotpatch gratuit et la semaine de zero-days, tu as besoin de savoir exactement quels serveurs tu pilotes via Arc. Cette commande te sort l'inventaire en un coup d'œil.

az connectedmachine list \
  --query "[].{Nom:name, OS:osName, Version:osVersion, Statut:status}" \
  -o table

Ce que la commande retourne :

  • Le nom de chaque serveur rattaché à Azure Arc

  • L'OS et sa version — repère tes Windows Server 2025 Standard/Datacenter

  • Le statut de connexion (Connected / Disconnected)

  • Ta liste de candidats au hotpatch gratuit, prête à filtrer

Mème de la semaine !

Tu es arrivé au bout de ta prescription, sans effets secondaires 😄

Si cette dose hebdo t'a été utile, Forwarde-la à un collègue qui pilote du Microsoft sérieux. La communauté Doctor Kloud grandit grâce à toi 💙

À lundi prochain.

Doctor Kloud 🩺

Pour en savoir plus sur Hichamnewsletter.doctorkloud.fr/about

Reply

Avatar

or to participate

Continuer la lecture

© 2026 Doctor Kloud. Créée avec ❤️ par Hicham KADIRI.
Report abusePrivacy policyTerms of use
beehiivPowered by beehiiv