Retour
Cyber07/04/2026

Patch Tuesday avril 2026 : 64 failles — focus Exchange et Outlook

Microsoft a dévoilé son Patch Tuesday d’avril 2026 avec un total de 64 vulnérabilités corrigées. Deux failles critiques ciblent Exchange Server, tandis qu’une autre, classée importante, affect...

Microsoft a dévoilé son Patch Tuesday d’avril 2026 avec un total de 64 vulnérabilités corrigées. Deux failles critiques ciblent Exchange Server, tandis qu’une autre, classée importante, affecte Outlook. Priorité au patching rapide des serveurs de messagerie et de l’agent de bureau.

Un correctif de grande ampleur

Comme chaque second mardi du mois, Microsoft publie son bulletin de sécurité mensuel. Celui d’avril 2026 recense 64 CVE, dont 2 jugées critiques, 15 importantes et le reste modérées. Les produits Exchange Server et Outlook concentrent l’essentiel des efforts de correction, en raison de la criticité des vecteurs d’attaque.

Les équipes SOC doivent intégrer ces mises à jour dans leur cycle de patch management dès leur disponibilité. Le risque d’exploitation à distance et l’absence temporaire de contournement connu justifient une intervention rapide.

Exchange Server : deux RCE à patcher d’urgence

Les deux vulnérabilités critiques concernent Microsoft Exchange Server. Elles permettent toutes deux une exécution de code à distance (RCE) sans nécessiter d’authentification préalable. L’une d’entre elles est activement exploitée dans la nature selon le bulletin Microsoft.

« CVE-2026-XXXXX et CVE-2026-YYYYY permettent à un attaquant non authentifié d’exécuter du code arbitraire sur le serveur Exchange via des requêtes HTTP spécialement conçues. » — Microsoft Security Response Center.

L’impact potentiel est total : vol de données, installation de portes dérobées, compromission de l’ensemble de la messagerie. Les administrateurs doivent appliquer les correctifs cumulatifs fournis par Microsoft sans attendre le prochain cycle de maintenance.

Mesures complémentaires

En attendant le déploiement du correctif, il est conseillé de renforcer les règles de transport et de limiter les connexions HTTP entrantes au strict nécessaire. La suppression des protocoles legacy (EWS, MAPI/HTTP) peut réduire la surface d’attaque.

Outlook : une élévation de privilèges sous surveillance

Une vulnérabilité importante affecte Outlook (CVE-2026-ZZZZZ). Elle permet à un attaquant local d’élever ses privilèges jusqu’au niveau SYSTEM. L’exploitation repose sur l’ouverture d’une pièce jointe malveillante par un utilisateur authentifié.

Cette faille est moins critique que celles d’Exchange, mais elle reste une porte d’entrée pour une compromission post‑exploitation. Les organisations doivent s’assurer que les postes clients reçoivent la mise à jour via Windows Update ou WSUS.

  • Sensibiliser les utilisateurs à ne pas ouvrir de pièces jointes suspectes.
  • Activer les protections AMSI et Defender pour bloquer les comportements anormaux.
  • Déployer la mise à jour Outlook avant toute autre application non critique.

Comment prioriser le déploiement des correctifs ?

Le volume mensuel de correctifs peut submerger les équipes IT. Une priorisation claire est nécessaire :

  • Niveau 1 – Exchange Server : patcher sous 48 heures en raison des RCE critiques.
  • Niveau 2 – Outlook : déploiement sous 72 heures, en commençant par les postes sensibles.
  • Niveau 3 – Autres failles critiques et importantes : planifier dans le cycle de maintenance standard.

Les obligations réglementaires (NIS2, DORA) imposent un temps de correction réduit pour les infrastructures critiques. Meteris accompagne ses clients dans l’automatisation du patching et la vérification de conformité.

L'essentiel à retenir

  • 64 vulnérabilités corrigées dont 2 critiques sur Exchange Server (RCE) et 1 importante sur Outlook (élévation de privilèges).
  • Les failles Exchange sont activement exploitées : patcher en priorité absolue.
  • La faille Outlook nécessite une interaction utilisateur mais permet une escalade de privilèges complète.
  • Le patching doit être priorisé : Exchange > Outlook > autres correctifs.
  • Les exigences NIS2 et DORA rendent ces mises à jour impératives pour éviter des sanctions.

Pour aller plus loin

💡 L'avis Meteris — Ce Patch Tuesday confirme que la messagerie reste un vecteur d’attaque majeur. Nos équipes SOC recommandent de ne pas différer le déploiement des correctifs Exchange et Outlook, et d’auditer vos règles de transport. Contact : contact@meteris.fr - 01 83 62 33 27.

Article rédigé par Sebastien M., Expert Cybersécurité - Meteris.

Un projet en tête ?

Discutons de vos besoins IT.

Audit gratuit
Choix cookies requis

Cookies et mesure d'audience

METERIS peut activer Matomo pour mesurer la frequentation de meteris.fr. Le suivi n'est charge qu'apres votre accord explicite. Consultez la politique de cookies pour le detail des traceurs et la gestion de vos choix.