Retour au blog
CVEMicrosoftPatch Tuesdaytechnique

Patch Tuesday Microsoft juillet 2026 : un record à 570 failles et 3 zero-days

Publié le 2026-07-147 min de lectureCleanIssue

> En bref : Le Patch Tuesday de juillet 2026 de Microsoft est le plus gros jamais publié — 570 failles corrigées, dont 59 Critiques et 3 zero-days (2 activement exploitées, 1 divulguée publiquement). Les deux zero-days exploités sont CVE-2026-56155 (escalade de privilèges AD FS) et CVE-2026-56164 (escalade de privilèges SharePoint). Le zero-day divulgué est CVE-2026-50661 (contournement BitLocker).

Les chiffres

570 failles, c'est un record, et Microsoft prévient qu'il faut s'attendre à plus : l'entreprise a commencé à utiliser un système de découverte de vulnérabilités piloté par IA sur son codebase Windows, qui remonte les bugs plus vite que le pipeline classique. Pour un défenseur, c'est plutôt bon signe (les bugs trouvés en interne avant les attaquants), mais ça signifie que les volumes de Patch Tuesday vont probablement rester élevés.

La répartition du mois :

  • 254 escalades de privilèges
  • 145 RCE (dont 48 des 59 Critiques sont des RCE)
  • 102 divulgations d'information
  • 35 dénis de service
  • 17 contournements de fonctionnalité de sécurité
  • 16 spoofing
  • Note : ce compte exclut les failles Edge/Chromium (468 ce mois-ci, corrigées par Google) et les produits patchés plus tôt dans le mois (Mariner, Azure OpenAI, Exchange Online, Copilot, Entra Provisioning).

    Les trois zero-days

    CVE-2026-56155 — AD FS Elevation of Privilege (activement exploitée). Granularité insuffisante du contrôle d'accès dans Active Directory Federation Services : un attaquant autorisé peut élever ses privilèges localement. Créditée à l'équipe DART de Microsoft elle-même — généralement le signe que la faille a été trouvée en enquêtant sur une intrusion réelle. Considérez tout déploiement AD FS comme potentiellement compromis jusqu'au patch.

    CVE-2026-56164 — SharePoint Server Elevation of Privilege (activement exploitée). Authentification manquante pour une fonction critique. Microsoft liste l'intégration AMSI (Request Body Scan mode réglé sur Full) comme mitigation partielle. Créditée à Mandiant et Google Cloud FLARE OTF — autre signal fort d'usage actif par des groupes d'attaque. Celle-ci fait partie de la campagne d'exploitation SharePoint plus large qui inclut aussi CVE-2026-58644.

    CVE-2026-50661 — Windows BitLocker Security Feature Bypass (divulguée publiquement). Un attaquant avec accès physique peut contourner BitLocker Device Encryption et accéder aux données chiffrées. Non exploitée selon Microsoft, mais divulguée — ce qui signifie que les détails sont publics. Pertinent pour les laptops volés/perdus et pour tout parc qui s'appuie sur BitLocker comme contrôle principal.

    Ce qu'une équipe SaaS doit en tirer

    L'essentiel des 570 failles est du desktop Windows et du RCE/EoP Office — pertinent pour l'IT, moins directement pour une équipe produit SaaS. Trois choses doivent vraiment bouger côté SaaS :

  • AD FS et SharePoint sont l'infrastructure d'identité et documentaire de vos clients grands comptes. Si votre SSO s'intègre à l'AD FS d'un client, ou si votre produit lit/écrit des documents sur un SharePoint Server client, ces clients font désormais partie de votre surface de menace. Contactez les clients entreprise en contrat NIS2 / entité importante et confirmez qu'ils ont patché.
  • Contournement BitLocker + accès physique remet à zéro le modèle de menace laptop pour toute équipe qui manipule des secrets localement. Si vos développeurs gardent du code source, des identifiants ou des données clients sur des laptops protégés uniquement par BitLocker, la faille divulguée signifie qu'un laptop volé est plus proche d'une fuite que la semaine dernière. Ajoutez le remote-wipe MDM, enforcez secure enclave / TPM + PIN, et revérifiez qu'aucun secret de production ne vit sur les postes.
  • Microsoft Exchange Server a pris quatre correctifs ce mois-ci dont un spoofing Critique (CVE-2026-55008). Si vous exploitez Exchange on-premise (certains éditeurs RH/legaltech le font encore, par souveraineté), patchez sur ce cycle — les failles RCE/spoofing Exchange ont une histoire de basculement en exploitation de masse en quelques jours.
  • Les autres éditeurs de la semaine

    Le Patch Tuesday, c'est aussi le moment où le reste de l'industrie publie. Ce mois de juillet a apporté des correctifs critiques chez Adobe (ColdFusion CVE-2026-48282, exploitée), BeyondTrust (auth bypass dans Remote Support / PRA), Cisco (CVE-2026-20230 confirmée exploitée), Fortinet (FortiSandbox, au KEV), Gitea (auth bypass Docker, exploitée), SAP (NetWeaver / Commerce Cloud critiques), Ubiquiti (UniFi OS sévérité max), VMware (Avi Load Balancer) et Zimbra (XSS Classic Web Client). Nous avons couvert les plus pertinentes pour le SaaS individuellement.

    La leçon opérationnelle

    Avec des volumes de Patch Tuesday qui montent et des bugs découverts par IA qui s'accélèrent, l'ancien rythme « revue trimestrielle des patches » est mort. Pour un éditeur SaaS, la posture réaliste, c'est : une revue hebdomadaire MSRC + advisories de votre stack, un SLA défini pour les Critique/EoP (nous recommandons 7 jours), et un process écrit pour les jours où un zero-day tombe avec exploitation active. NIS2 et vos clients grands comptes attendent exactement ça désormais.

    Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit