CVE-2026-33827 : RCE critique CVSS 9,8 dans la pile TCP/IP Windows, corrigé en avril
Microsoft corrige CVE-2026-33827 le 14 avril 2026 (CVSS 9,8) : race condition dans la pile TCP/IP Windows permettant l'exécution de code à distance sans authentification via des paquets IPv6 malformés sur les nœuds avec IPSec activé.
Contexte
Le Patch Tuesday d'avril 2026, publié le 14 avril, corrige 164 vulnérabilités Microsoft — le double du volume de mars 2026. Parmi elles, CVE-2026-33827 se distingue avec un CVSS de 9,8 : une race condition dans la pile TCP/IP de Windows exploitable à distance, sans authentification et sans interaction de la victime. Ce lot inclut également au moins un zero-day exploité activement, ce qui classe ce Patch Tuesday parmi les plus urgents des derniers mois.
Détails techniques
| Champ | Valeur |
|---|---|
| CVE | CVE-2026-33827 |
| CVSS | 9,8 (Critique) |
| CWE | CWE-362 — Race condition sur ressource partagée |
| Vecteur | Réseau, sans authentification, sans interaction utilisateur |
| Systèmes affectés | Windows 10 v1607 (build 10.0.14393.0) et supérieur avec IPSec activé |
| Vecteur d'attaque | Paquets IPv6 spécialement forgés |
| Impact | Exécution de code arbitraire au niveau du noyau |
| Patch | KB5039218 via Windows Update / WSUS / Microsoft Update Catalog |
Mécanisme d'exploitation
La race condition exploite une fenêtre de synchronisation défaillante dans le traitement des paquets IPv6 par la couche IPSec du noyau Windows. Un attaquant non authentifié envoie des paquets IPv6 malformés sur le réseau local ou Internet ; si la condition de course est gagnée, il obtient l'exécution de code arbitraire au niveau kernel, avec les privilèges les plus élevés du système.
Conditions requises :
- IPv6 activé sur l'interface réseau cible (activé par défaut sur Windows depuis Vista)
- IPSec activé — typique dans les environnements entreprise et VPN site-à-site
À la date de divulgation, aucun PoC public n'est répertorié. La fiabilité d'exploitation dépend du timing réseau, caractéristique des race conditions ; cela ne signifie pas l'absence d'exploit privé.
Actions recommandées
- Déployer immédiatement KB5039218 sur tous les systèmes Windows en production
- Prioriser les serveurs exposés au réseau, passerelles VPN et systèmes avec IPSec actif
- Mitigation temporaire (si le patch est bloqué) : restreindre le trafic IPv6 entrant en amont (firewall périmétrique) ou désactiver IPSec si non critique pour l'environnement
- Auditer les systèmes ayant désactivé Windows Update — ils n'ont pas reçu le correctif automatiquement
Limite ou piège
La race condition rend l'exploitation probabiliste plutôt que déterministe — mais cela ne suffit pas à relativiser la criticité : des primitives d'exploit répétables existent pour les race conditions réseau, et la surface d'attaque est considérable dans les déploiements enterprise IPv6/IPSec. Avec 164 CVE corrigées simultanément et un zero-day actif dans le même lot, le contexte d'urgence justifie un déploiement sans délai.
Source principale — Microsoft MSRC
Sources : NVD/NIST · Zero Day Initiative — Analyse avril 2026 · Talos Intelligence