Bonne nouvelle : pas de zéro jour. Mais les administrateurs Azure doivent noter neuf trous à combler.
Pourtant, Jack Bicer, directeur de la recherche sur les vulnérabilités chez Action1, affirme que ces failles liées à Office devraient être traitées « de toute urgence ».
« Les outils de productivité restent l’un des points d’entrée les plus courants pour les attaquants », a-t-il expliqué, « et les vulnérabilités qui peuvent être déclenchées par la manipulation courante de documents continuent d’élargir la surface d’attaque au sein des réseaux d’entreprise. »
L’un des trois problèmes les plus notables, a-t-il déclaré, est la vulnérabilité de divulgation d’informations dans Excel (CVE-2026-26144). Cette faille provient d’une neutralisation inappropriée des entrées lors de la génération de pages Web, également appelée cross-site scripting. Cette vulnérabilité permet à un attaquant de déclencher une communication réseau sortante involontaire qui pourrait divulguer des informations sensibles.
L’attaque nécessite un accès au réseau, affirme Microsoft, mais aucune interaction ni privilèges de l’utilisateur. Un attaquant pourrait fournir un contenu spécialement conçu qui, lorsqu’Excel le traiterait, déclencherait l’exfiltration des données sans déclencher d’alertes. C’est dangereux, car les fichiers Excel contiennent souvent des données d’entreprise sensibles.
« Un aspect particulièrement préoccupant est l’interaction potentielle avec le mode Copilot Agent », a déclaré Bicer dans un e-mail, « où les processus automatisés pourraient transmettre des données sensibles sans implication directe de l’utilisateur. Même sans exploitation confirmée dans la nature, la possibilité d’une exfiltration silencieuse de données à partir de feuilles de calcul contenant des données financières, opérationnelles ou de propriété intellectuelle représente un risque important pour les organisations qui s’appuient fortement sur des flux de travail pilotés par Excel. «
A ce jour, le trou n’est pas exploité.
Action1 indique que si le déploiement des correctifs doit être retardé, les organisations doivent restreindre le trafic réseau sortant des applications Office et surveiller les requêtes réseau inhabituelles générées par les processus Excel. La désactivation ou la limitation des fonctionnalités d’automatisation basées sur l’IA telles que le mode Copilot Agent peut réduire l’exposition.
Le deuxième trou d’Office sur lequel Bicer a attiré l’attention est une vulnérabilité d’exécution de code à distance (CVE 2026-26113) causée par une mauvaise gestion des pointeurs de mémoire par Office. Cela permettra à un attaquant de manipuler la manière dont l’application accède à la mémoire. Une exploitation réussie pourrait permettre à l’attaquant d’exécuter du code sur le système affecté avec les mêmes privilèges que l’utilisateur actuel. Les administrateurs doivent noter que le volet de visualisation peut servir de vecteur d’attaque, de sorte que l’exploitation peut se produire simplement en visualisant un fichier malveillant.
Ce bug porte un score CVSS de 8,4. À l’heure actuelle, il n’existe aucun exploit public ni preuve de concept connu.
Il existe également une vulnérabilité distincte d’exécution de code à distance Office (CVE-2026-26110) qui introduit un risque via un défaut de confusion de types résultant d’une mauvaise gestion de types de données incompatibles en mémoire. Comme pour la vulnérabilité précédente, a déclaré Bicer, l’exploitation peut se produire via la prévisualisation de documents et permettre aux attaquants d’exécuter du code malveillant avec les privilèges de l’utilisateur connecté. « Ces vulnérabilités mettent en évidence la façon dont les activités quotidiennes de gestion des documents peuvent rapidement devenir des voies de compromission du système », a-t-il déclaré.
« D’un point de vue commercial, les vulnérabilités qui permettent l’exécution de code ou la divulgation de données via des logiciels de productivité largement utilisés présentent un risque opérationnel important », a ajouté Bicer. « Les documents Office sont régulièrement échangés via la messagerie électronique, les plateformes de collaboration et les référentiels partagés, ce qui en fait un mécanisme de diffusion courant pour les campagnes de phishing et les attaques ciblées. Si elles sont exploitées, ces vulnérabilités pourraient permettre aux attaquants de déployer des logiciels malveillants, de voler des informations sensibles, d’établir un accès persistant ou de se déplacer latéralement à travers les réseaux d’entreprise. Le vecteur d’attaque du volet de prévisualisation est particulièrement préoccupant car il réduit le besoin d’interaction de l’utilisateur et augmente la probabilité d’une exposition accidentelle. «
Bicer a déclaré que pour ce Patch Tuesday, l’accent stratégique devrait inclure le déploiement rapide de correctifs pour les environnements Office, la surveillance des activités réseau sortantes inhabituelles provenant des applications Office et la limitation des fonctionnalités de partage de données automatisées liées aux flux de travail assistés par l’IA tels que le mode Copilot Agent. Les RSSI doivent également renforcer les contrôles qui réduisent les risques d’attaque basés sur les documents, notamment en désactivant le volet de visualisation lorsque cela est possible, en renforçant le filtrage des pièces jointes aux e-mails et en augmentant la surveillance des points finaux pour déceler tout comportement anormal des processus Office.
« En prenant ces mesures, nous réduirons la probabilité que les interactions de routine avec les documents deviennent un point d’entrée pour les attaquants cherchant à compromettre les systèmes de l’entreprise ou à extraire des données sensibles », a-t-il déclaré.
Problèmes Azure
Le trou de connexion Entra ID affecte les machines virtuelles Azure Linux et est classé comme étant de gravité élevée, avec un score CVSS de 8,1. Cela pourrait permettre à un attaquant non autorisé d’élever ses privilèges localement. Les utilisateurs Azure doivent mettre à jour l’extension de connexion Azure SSH via le gestionnaire de packages de leur distribution Linux pour installer la dernière version du package. Les systèmes avec l’extension déjà installée sont configurés automatiquement, aucune configuration supplémentaire n’est donc requise.
Chris Goettl, vice-président de la gestion des produits chez Ivanti, a noté qu’une vulnérabilité d’élévation de privilèges dans SQL Server (CVE-2026-21262), avec un score CVSS de 8,8, figurait sur la liste, mais elle a déjà été divulguée publiquement. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges d’administrateur système SQL. La vulnérabilité affecte SQL Server 2016 et les éditions ultérieures.
Satnam Narang, ingénieur de recherche senior chez Tenable, a commenté le correctif pour les outils Azure Model Context Protocol (MCP). « Ce bug est une falsification de requête côté serveur », a-t-il déclaré dans un e-mail, « donc un attaquant pourrait l’exploiter en envoyant une requête à un serveur Azure MCP vulnérable. Mais l’exploitation nécessite que le serveur accepte les paramètres fournis par l’utilisateur.
« Les serveurs MCP sont devenus extrêmement populaires pour connecter de grands modèles de langage et des applications d’IA agentique », a-t-il noté, « et avec la montée en puissance d’outils comme OpenClaw et d’autres agents, il est devenu encore plus critique de protéger ces outils contre les cybercriminels. »
Bonne nouvelle pour les administrateurs
Nick Carroll, responsable de la réponse aux incidents cybernétiques chez Nightwing, a repéré ce qu’il dit être « une très bonne nouvelle. Pendant des années, les défenseurs et les analystes SOC se sont appuyés sur System Monitor (Sysmon) de Microsoft pour obtenir une télémétrie haute fidélité sur la création de processus, les connexions réseau et les modifications de fichiers. Mais comme il vivait dans la suite externe Sysinternals, son déploiement nécessitait des téléchargements manuels, des scripts personnalisés et une maintenance constante.
Depuis la mise à jour des fonctionnalités de Windows 11 de mars (KB5079473), Sysmon est intégré nativement directement dans Windows 11 en tant que fonctionnalité intégrée facultative. Les administrateurs n’ont plus besoin de le packager de manière dynamique. Il peut être simplement activé par programme via PowerShell. « Couplé à l’annonce simultanée de Microsoft selon laquelle Windows Intune permettra le hotpatching par défaut en mai 2026, cela abaisse considérablement la barrière à l’entrée pour une visibilité approfondie des points finaux et représente une victoire opérationnelle massive pour les défenseurs du réseau », a-t-il déclaré.
SAP, Google et autres bogues de grande gravité
Par ailleurs, SAP a publié des correctifs pour deux vulnérabilités critiques, dont l’une présente un score CVSS de 9,8. Il s’agit de la note de sécurité SAP n° 3698553, qui corrige une vulnérabilité d’injection de code dans l’application SAP Quotation Management Insurance (FS-QUO). Selon les chercheurs d’Onapsis, l’application utilise un artefact obsolète d’Apache Log4j 1.2.17 vulnérable au CVE-2019-17571. Il permet à un attaquant non privilégié d’exécuter du code arbitraire à distance sur le serveur, entraînant un impact important sur la confidentialité, l’intégrité et la disponibilité de l’application.
L’autre note de sécurité SAP, n° 3714585, étiquetée avec un score CVSS de 9,1, corrige une vulnérabilité de désérialisation non sécurisée dans l’administration de SAP NetWeaver Enterprise Portal. En raison d’une validation manquante ou insuffisante lors de la désérialisation du contenu téléchargé, un utilisateur privilégié peut télécharger du contenu non fiable ou malveillant. Seul le fait qu’un attaquant ait besoin de privilèges élevés pour réussir un exploit empêche la vulnérabilité d’être étiquetée avec un score CVSS de 10.
D’autres fournisseurs ont également résolu certains problèmes de grande gravité.
Apple a publié des mises à jour de sécurité pour la corruption de la mémoire dans Dynamic Link Editor utilisé dans iPadOS, macOS, tvOS, watchOS et visionsOS.
Google a publié des mises à jour de sécurité pour Chrome et le navigateur Chromium qui corrigent plusieurs problèmes de grande gravité.
Ivanti a signalé deux bugs sérieux dans son Endpoint Manager qui pourraient permettre aux attaquants de voler des informations d’identification ou de lire des données sensibles.
WordPress a publié une mise à jour de sécurité pour corriger une vulnérabilité qui expose une faiblesse critique du plugin WPvivid Backup and Migration. Il porte un score CVSS de 9,8.
