Bureau
Contenu
Microsoft Patch Tuesday avril 2026 : Informations clés sur la sécurité
Aperçu du Patch Tuesday d'avril 2026
Zero-Day activement exploitée sur SharePoint (CVE-2026-32201)
Défis structurels dans les déploiements SharePoint sur site
Deuxième Zero-Day : Vulnérabilité Microsoft Defender (CVE-2026-33825)
Profils de risque divergents dans le déploiement des correctifs
Analyse des vulnérabilités d'avril 2026
Risques pour les entreprises au-delà de SharePoint
Informations supplémentaires
Conclusion
Microsoft Patch Tuesday d'avril 2026 corrige 167 failles, dont 2 Zero-Days
Temps: Apr, 15, 2026

Mardi des correctifs d'avril 2026 de Microsoft : Perspectives clés sur la sécurité

Les administrateurs de SharePoint Server font face à une date limite de correctif urgente car l'une des vulnérabilités de la mise à jour du Mardi des correctifs d'avril 2026 de Microsoft est déjà exploitée activement. La faille de falsification est l'une des 167 vulnérabilités corrigées dans cette mise à jour, publiée le 14 avril et couvrant Windows, Office, SharePoint et d'autres produits.

Aperçu du Mardi des correctifs d'avril 2026

Cette mise à jour représente la deuxième plus grande mise à jour mensuelle de l'histoire de Microsoft. Parmi les 167 vulnérabilités corrigées :

  • Huit présentent le niveau de gravité le plus élevé.
  • Sept sont classées comme des failles d'exécution de code à distance.
  • Une est une vulnérabilité de déni de service.

Parmi celles-ci, deux failles zero-day ont été révélées, dont une exploitée activement avant la publication du correctif.

Zero-day activement exploité dans SharePoint (CVE-2026-32201)

La CVE-2026-32201, une vulnérabilité de falsification dans Microsoft SharePoint Server, est le zero-day activement exploité corrigé dans cette mise à jour. Selon l'avis de Microsoft, cette faille provient d'une faiblesse de validation des entrées qui permet à des attaquants non authentifiés de mener des attaques de falsification basées sur le réseau. Une exploitation réussie donne aux attaquants un accès en lecture et écriture à des données sensibles, bien que la disponibilité du système reste inchangée.

Détails clés :

  • Toute instance de SharePoint Server accessible depuis le réseau est une cible potentielle car aucune authentification n'est requise.
  • Microsoft n'a pas divulgué la méthodologie d'exploitation ni l'identité du découvreur de la vulnérabilité.

SharePoint Server a été une cible récurrente pour des acteurs de menaces sophistiqués. Par exemple, un autre zero-day (CVE-2025-53770) a été lié à des attaques par ransomware visant des agences gouvernementales en juillet 2025. L'intégration profonde de SharePoint avec Active Directory et le stockage de fichiers d'entreprise en fait une cible de grande valeur pour les attaquants cherchant à se déplacer latéralement dans les réseaux.

Défis structurels des déploiements SharePoint sur site

L'exploitation de deux zero-days de SharePoint en neuf mois met en évidence une exposition structurelle dans les déploiements sur site. Les organisations qui n'ont pas migré vers SharePoint Online subissent une pression croissante pour le faire, car la version hébergée dans le cloud bénéficie de :

  • Correctifs automatisés sans intervention de l'administrateur.
  • Couches supplémentaires de protection au niveau réseau absentes dans les déploiements auto-hébergés.

Les administrateurs incapables d'appliquer immédiatement la mise à jour devraient :

  1. Examiner la segmentation réseau autour des points de terminaison SharePoint.
  2. Auditer les journaux d'accès pour détecter des signes d'activité d'exploitation avant correctif.

Deuxième zero-day : Vulnérabilité de Microsoft Defender (CVE-2026-33825)

La CVE-2026-33825, le deuxième zero-day corrigé en avril, est une faille d'élévation de privilèges dans la plateforme Microsoft Defender Antimalware. Bien qu'elle ait été divulguée publiquement avant le correctif, elle n'a pas été liée à une exploitation active. Une exploitation réussie pourrait élever les privilèges au niveau SYSTEM, donnant aux attaquants un contrôle total sur le système affecté.

Détails clés :

  • Les permissions élevées par défaut de Defender rendent cette faille particulièrement dangereuse, car les attaquants pourraient désactiver complètement les protections de sécurité.
  • Les chercheurs en sécurité Zen Dodd et Yuanpei XU ont identifié la vulnérabilité en utilisant l'outil de fuzzing Diffract.
  • Le correctif a été livré via la mise à jour de la plateforme Microsoft Defender Antimalware version 4.18.26050.3011, qui se télécharge automatiquement sur les systèmes exécutant Windows Defender.

Les administrateurs n'ont pas besoin d'agir manuellement pour ce correctif sauf si :

  • Les mises à jour automatiques de Defender ont été désactivées.
  • Des solutions antivirus tierces remplaçant Defender sont utilisées, nécessitant une vérification manuelle de la mise à jour.

Profils de risque divergents dans le déploiement des correctifs

Les mises à jour de Microsoft Defender atteignent les points de terminaison en quelques heures grâce à un déploiement automatique silencieux. En revanche, les correctifs de SharePoint Server nécessitent des tests manuels et un déploiement programmé, créant deux profils de risque distincts :

  • Les correctifs de Defender sont mesurés en heures d'exposition.
  • Les correctifs de SharePoint Server peuvent prendre des jours ou des semaines à être déployés.

Répartition des vulnérabilités d'avril 2026

Par catégorie, les 167 vulnérabilités incluent :

  • 93 Élévations de privilèges
  • 20 Exécutions de code à distance
  • 21 Divulgations d'informations
  • 13 Contournements de fonctionnalités de sécurité
  • 10 Déni de service
  • 9 Falsifications

Les vulnérabilités d'élévation de privilèges représentent plus de la moitié du total.

Risques pour les entreprises au-delà de SharePoint

En dehors des deux zero-days, Microsoft a corrigé plusieurs bugs d'exécution de code à distance dans Office. Les attaquants peuvent exploiter ceux-ci simplement en demandant à une victime de prévisualiser un document malveillant. Aucune interaction supplémentaire n'est requise au-delà de la visualisation du fichier dans le volet de prévisualisation d'Outlook, rendant ces failles particulièrement dangereuses dans les environnements d'entreprise.

Les vecteurs de menace potentiels incluent :

  • Des fichiers Word ou Excel spécialement conçus pour exécuter un code arbitraire lors de la prévisualisation.
  • Des vulnérabilités du client Bureau à distance pouvant servir de tête de pont dans les réseaux d'entreprise.

Informations supplémentaires

Le décompte du Mardi des correctifs exclut les correctifs pour Mariner, Azure et Bing publiés plus tôt en avril, ainsi que 80 vulnérabilités Microsoft Edge et Chromium corrigées par Google. En comptant toutes les mises à jour liées à Microsoft, l'empreinte totale pour avril 2026 est significativement plus grande que 167 vulnérabilités.

Les utilisateurs de Windows 11 reçoivent la mise à jour cumulative sous KB5083769, qui inclut également des mises à jour de fonctionnalités telles que :

  • Un interrupteur pour le contrôle intelligent des applications.
  • Intégration de Narrator avec Copilot.
  • Prise en charge des taux de rafraîchissement d'écran supérieurs à 1000Hz.

Les utilisateurs de Windows 10 dans le cadre du programme de mise à jour de sécurité étendue reçoivent une mise à jour cumulative distincte, KB5082200. Ces correctifs concernent les mêmes vulnérabilités mais s'appliquent uniquement aux organisations inscrites au programme ESU payant, ajoutant une pression financière pour celles utilisant encore Windows 10 au-delà de sa date de fin de support en octobre 2025.

Conclusion

Les 167 vulnérabilités d'avril représentent le total mensuel le plus élevé de 2026, quasiment trois fois supérieur au décompte de février. Les attaquants découvrent et exploitent les vulnérabilités plus rapidement, souvent avant que les correctifs ne soient disponibles. Cette tendance souligne la nécessité d'un déploiement automatique des correctifs lorsque cela est possible et met en évidence le fardeau opérationnel croissant des administrateurs informatiques gérant des infrastructures hybrides.

Pour les déploiements SharePoint sur site, chaque jour entre maintenant et le moment où le correctif est appliqué représente une fenêtre critique d'exposition. Les organisations soumises à la directive opérationnelle contraignante 22-01 de la CISA devraient s'attendre à ce que la vulnérabilité activement exploitée de SharePoint soit ajoutée au catalogue des vulnérabilités exploitées connues (KEV), fixant une date limite de remédiation obligatoire pour les entités concernées.

Source : Microsoft Security Response Center (MSRC)

Chat en direct
0