Le Patch Tuesday d'avril 2026 de **Microsoft** corrige 169 vulnérabilités de sécurité, surpassant toutes les mises à jour précédentes à l'exception d'une seule en termes de volume. Ce vaste ensemble de correctifs adresse des failles critiques dans le large portefeuille de produits de l'entreprise, y compris une vulnérabilité zero-day qui est actuellement exploitée. ### Répartition des vulnérabilités Sur les 169 vulnérabilités corrigées, 157 sont classées comme importantes, huit comme critiques, trois comme modérées et une comme faible. La majorité de ces failles (93) sont des vulnérabilités d'escalade de privilèges, suivies par la divulgation d'informations (21), l'exécution de code à distance (21), le contournement de fonctionnalités de sécurité (14), l'usurpation d'identité (10) et le déni de service (9). Les mises à jour incluent également quatre CVE émises par des tiers autres que **Microsoft**, affectant **AMD** (**CVE-2023-20585**), **Node.js** (**CVE-2026-21637**), Windows Secure Boot (**CVE-2026-25250**) et **Git for Windows** (**CVE-2026-32631**). Cela s'ajoute aux 78 vulnérabilités corrigées dans le navigateur Edge basé sur Chromium depuis la mise à jour du mois dernier. ### Un Patch Record Cette publication est le deuxième plus grand Patch Tuesday à ce jour, ne se classant que derrière octobre 2025, lorsque **Microsoft** avait corrigé 183 failles. **Satnam Narang**, ingénieur de recherche principal chez **Tenable**, a noté que si le rythme se maintient, 2026 verra probablement plus de 1 000 CVE lors des Patch Tuesdays. Narang a en outre observé la domination des bugs d'élévation de privilèges dans les cycles récents de Patch Tuesday, représentant 57 % de tous les CVE corrigés en avril. Les vulnérabilités d'exécution de code à distance (RCE) ont diminué à 12 %, à égalité avec les vulnérabilités de divulgation d'informations. ### Vulnérabilité activement exploitée : CVE-2026-32201 La vulnérabilité activement exploitée est **CVE-2026-32201** (score CVSS : 6,5), une vulnérabilité d'usurpation d'identité dans **Microsoft SharePoint Server**. Selon **Microsoft**, une validation d'entrée incorrecte permet à un attaquant non autorisé d'effectuer une usurpation d'identité sur un réseau, lui permettant potentiellement de visualiser des informations sensibles ou d'apporter des modifications aux informations divulguées. Bien que la vulnérabilité ait été découverte en interne, les détails de son exploitation, les acteurs impliqués et l'ampleur des attaques sont actuellement inconnus. **Mike Walters**, président et co-fondateur d'**Action1**, a souligné que cette faille permet aux attaquants de manipuler la façon dont les informations sont présentées aux utilisateurs, les incitant potentiellement à faire confiance à du contenu malveillant. L'Agence américaine de cybersécurité et de sécurité des infrastructures (**CISA**) a ajouté **CVE-2026-32201** à son catalogue de vulnérabilités connues et exploitées (KEV), imposant aux agences du Federal Civilian Executive Branch (FCEB) de remédier à la vulnérabilité d'ici le 28 avril 2026. ### Vulnérabilité publiquement connue : CVE-2026-33825 (BlueHammer) Une autre vulnérabilité notable est **CVE-2026-33825**, une faille d'escalade de privilèges dans **Microsoft Defender** (score CVSS : 7,8), qui était publiquement connue au moment de sa publication. Cette faille pourrait permettre à un attaquant autorisé d'élever ses privilèges localement en exploitant le manque de contrôles d'accès granulaires adéquats de **Defender**. **Microsoft** indique qu'aucune action de l'utilisateur n'est requise pour installer la mise à jour pour **CVE-2026-33825**, car la plateforme se met à jour fréquemment par défaut. Les systèmes qui ont désactivé **Microsoft Defender** ne sont pas vulnérables. Ce correctif est censé résoudre un exploit zero-day connu sous le nom de **BlueHammer**, qui a été partagé sur **GitHub** le 3 avril 2026 par un chercheur en sécurité après un différend avec **Microsoft** concernant le processus de divulgation de la vulnérabilité. L'accès au dépôt d'exploit nécessite actuellement une connexion **GitHub**. **Cyderes** explique que **BlueHammer** exploite le processus de mise à jour de **Microsoft Defender** via l'abus de Volume Shadow Copy pour élever les privilèges à NT AUTHORITY\SYSTEM en chaînant des fonctionnalités Windows légitimes. Les chercheurs **Rahul Ramesh** et **Reegun Jayapaul** de **Cyderes** ont détaillé comment **BlueHammer** utilise les rappels Cloud Files et les oplocks pour suspendre **Defender** pendant la création d'un instantané temporaire de Volume Shadow Copy, rendant les ruches de registre SAM, SYSTEM et SECURITY accessibles. **Will Dormann** a confirmé sur Mastodon que l'exploit **BlueHammer** ne fonctionne plus et semble être corrigé par **CVE-2026-33825**, bien que certains composants de l'exploit puissent encore fonctionner. ### Vulnérabilité critique d'exécution de code à distance : CVE-2026-33824 Parmi les vulnérabilités les plus graves figure **CVE-2026-33824**, une faille d'exécution de code à distance affectant les extensions du service Windows Internet Key Exchange (IKE), avec un score CVSS de 9,8 sur 10,0. **Adam Barnett**, ingénieur logiciel principal chez **Rapid7**, a déclaré que l'exploitation nécessite qu'un attaquant envoie des paquets spécialement conçus à une machine Windows avec IKE v2 activé, ce qui pourrait potentiellement entraîner une exécution de code à distance. Barnett a souligné la rareté des vulnérabilités RCE non authentifiées sur les actifs Windows modernes, mais a insisté sur l'exposition inhérente d'IKE, compte tenu de son rôle dans la fourniture de services de négociation de tunnels sécurisés pour les VPN. **Walters** a averti que cette faille représente une menace sérieuse pour les environnements d'entreprise, en particulier ceux qui utilisent des VPN ou IPsec pour des communications sécurisées. Une exploitation réussie pourrait entraîner un compromis complet du système, permettant le vol de données, la perturbation opérationnelle ou le mouvement latéral sur le réseau. L'absence d'interaction utilisateur requise et le potentiel d'attaques généralisées rendent cette vulnérabilité particulièrement dangereuse pour les systèmes exposés sur Internet exécutant des services IKEv2.