Élévation de privilèges affectant le serveur SMB de Windows

  • Auteur/autrice de la publication :

Origine : bjCSIRT

Numéro : 2026/ALERTE/065

APERÇU :

Une vulnérabilité affectant le composant SMB de Windows permettrait à un acteur malveillant disposant d’un accès local avec de faibles privilèges d’élever ses privilèges sur le système affecté. 

DESCRIPTION

Le serveur SMB de Windows (pilotes srv.sys, srv2.sys et srvnet.sys) est un composant central des systèmes Windows, utilisé pour le partage de fichiers et d’imprimantes ainsi que pour l’authentification réseau via Kerberos. 

Ce composant est affecté par une vulnérabilité libellée CVE-2026-26128, résultant d’une authentification incorrecte. Son exploitation permettrait à un acteur malveillant disposant d’un accès local avec de faibles privilèges sur le système, de manipuler les requêtes d’authentification adressées au composant serveur SMB afin de contourner les contrôles de privilèges et d’obtenir un accès élevé sur le système. La complexité d’attaque est jugée faible et aucune interaction de l’utilisateur n’est requise, ce qui rend la vulnérabilité facilement exploitable dès qu’un accès local a été obtenu (par hameçonnage ou toute autre technique d’accès initial). 

Elle est classée élevée avec un score de sévérité de 7.8 selon le CVSS v3.1. 

IMPACT

  • Élévation des privilèges locaux ; 
  • Contournement des contrôles de privilèges à partir d’un compte local peu privilégié ; 
  • Rebond possible vers un mouvement latéral ou une compromission plus large du système une fois les privilèges élevés obtenus. 

SYSTEMES AFFECTÉS 

Toutes les éditions prises en charge intégrant le composant serveur SMB (srv.sys, srv2.sys, srvnet.sys), soit Windows 10 (1607 à 22H2), Windows 11 (23H2 à 26H1), Windows Server 2012, 2012 R2, 2016, 2019, 2022 et 2025. 

 MESURES À PRENDRE :

  • Appliquer sans délai la mise à jour de sécurité Microsoft de mars 2026 corrigeant la vulnérabilité sur l’ensemble des systèmes concernés ; 
  • Appliquer le principe du moindre privilège sur les comptes locaux et restreindre l’accès local aux systèmes critiques hébergeant le service SMB ;  
  • En attendant le déploiement du correctif, surveiller les journaux d’événements Windows (IDs 4672, 4673, 4674) pour détecter toute anomalie d’authentification ou d’élévation de privilèges liée au serveur SMB. 

RÉFÉRENCES :