CVE-2026-33824 (CVSS 9.8) : RCE sans authentification dans Windows IKEv2 — Patch Tuesday avril
Microsoft corrige un double-free dans le service IKE de Windows (CVSS 9.8) : un attaquant non authentifié peut exécuter du code arbitraire au niveau SYSTEM via des paquets UDP forgés sur le port 500. Patch disponible depuis le 14 avril 2026, mitigation immédiate possible.
Contexte
Le Patch Tuesday d'avril 2026, publié le 14 avril, corrige 163 CVEs dont 8 classifiées critiques. Parmi elles, CVE-2026-33824 se distingue par son score CVSS de 9,8 et son vecteur d'exploitation : un attaquant réseau non authentifié, sans interaction utilisateur, peut obtenir une exécution de code arbitraire au niveau SYSTEM sur tout hôte Windows où le protocole IKEv2 est actif.
IKEv2 est le mécanisme d'établissement de clés derrière la majorité des VPN IPsec déployés en entreprise — y compris L2TP/IPsec natif de Windows, Always On VPN, et les passerelles Azure VPN en mode IKEv2. L'exposition potentielle est large : tout serveur Windows accessible sur UDP 500 ou UDP 4500 depuis Internet ou depuis un réseau non maîtrisé est vulnérable avant patch.
Points clés
Cause racine : double-free (CWE-415)
La vulnérabilité est un bug de corruption mémoire de type double-free dans ikeext.dll, le service IKE Extension de Windows. Lors du traitement d'un échange IKEv2 spécialement forgé, la fonction libère deux fois la même région mémoire. Cette condition est exploitable de manière fiable pour rediriger le flux d'exécution vers du shellcode arbitraire — et le service tourne en NT AUTHORITY\SYSTEM.
Aucun prérequis d'authentification
- Vecteur d'attaque : Network (AV:N)
- Authentification requise : aucune (PR:N)
- Interaction utilisateur : aucune (UI:N)
- Impact confidentialité / intégrité / disponibilité : complet (C:H / I:H / A:H)
Un simple envoi de paquets UDP sur le port 500 (négociation IKEv2) ou 4500 (NAT-traversal) suffit à déclencher la condition.
Systèmes affectés
- Windows Server 2025, 2022, 2019, 2016 (y compris Server Core)
- Windows 11 (x64, ARM64) versions 22H2 et 24H2
- Windows 10 (x86, x64, ARM64) jusqu'à la version 22H2
Pas d'exploit public confirmé au 25 avril, mais Microsoft cote cette CVE « Exploitation More Likely », ce qui signifie que la complexité de l'exploit est jugée faible par les équipes MSRC.
Correction et mitigation
Action prioritaire : appliquer le patch. La mise à jour est disponible via Windows Update et le Microsoft Update Catalog depuis le 14 avril 2026. Aucune action de redémarrage d'application n'est requise au-delà du redémarrage standard post-patch.
Mitigation temporaire si patch impossible :
Bloquer ou restreindre le trafic entrant sur les ports UDP 500 et UDP 4500 au niveau du pare-feu périmétrique et du Windows Firewall local :
# Bloquer IKEv2 entrant (mitigation temporaire, rompt les VPN IPsec)
New-NetFirewallRule -DisplayName "Block IKEv2 inbound CVE-2026-33824" `
-Direction Inbound -Protocol UDP -LocalPort 500,4500 `
-Action Block -Profile Any
Attention : cette règle désactive les connexions VPN IPsec entrantes. Pour les systèmes qui doivent maintenir un VPN, restreindre aux adresses IP des pairs connus plutôt que bloquer complètement.
Contexte Patch Tuesday : CVE-2026-33824 partage la session d'avril avec CVE-2026-32201 (zéro-day Windows Ancillary Function Driver, CVSS 7.8, exploitation active confirmée). L'analyse complète du Patch Tuesday est disponible chez Rapid7 et CrowdStrike.
Évaluation du risque
La combinaison « réseau, sans auth, sans interaction, SYSTEM » place CVE-2026-33824 dans la catégorie des vulnérabilités les plus simples à armer. La surface exposée — tout hôte Windows avec IKEv2 actif joignable sur UDP 500 — est substantielle dans les réseaux d'entreprise et chez les fournisseurs cloud qui proposent des endpoints VPN IPsec.
L'absence d'exploit public au moment de l'écriture donne une fenêtre d'action, mais l'évaluation « Exploitation More Likely » de Microsoft et la qualité du vecteur suggèrent que cette fenêtre est courte. Priorité de patch maximale pour tous les assets exposés à un réseau non maîtrisé.