En bref

  • Microsoft corrige 127 vulnérabilités le 14 juillet 2026, dont 38 classées critiques
  • CVE-2025-47981 : heap overflow wormable CVSS 9.8 sur NEGOEX/SPNEGO, présent par défaut sur tout Windows 10 1607+ et Windows Server
  • Enforcement définitif Kerberos RC4 aujourd'hui : patcher les contrôleurs de domaine en priorité absolue

Les faits

Ce 14 juillet 2026, Microsoft publie son Patch Tuesday mensuel avec 127 correctifs de sécurité. Parmi eux, 38 vulnérabilités sont classées critiques, les autres qualifiées de haute sévérité. Ce volume reste dans la fourchette habituelle de 2026, après le record absolu enregistré en juin — 206 correctifs en une seule livraison — qui avait mobilisé les équipes sécurité du monde entier. Mais le volume n'est pas le seul indicateur à surveiller ce mois-ci.

La particularité du Patch Tuesday de juillet 2026 tient à deux événements simultanés qui rendent cette mise à jour particulièrement urgente. D'une part, la mise à jour cumulative de juillet active l'enforcement complet et irréversible du durcissement Kerberos RC4. D'autre part, CVE-2025-47981, une vulnérabilité wormable de type heap overflow sur le mécanisme NEGOEX, figure parmi les correctifs prioritaires et représente un risque de propagation latérale massive si elle venait à être exploitée avant généralisation des patches.

La vulnérabilité CVE-2025-47981 est sans doute la plus préoccupante du lot. Elle affecte le mécanisme SPNEGO Extended Negotiation (NEGOEX), un protocole d'authentification réseau présent par défaut sur l'ensemble des versions Windows 10 1607 et supérieures, ainsi que sur Windows Server 2008 R2 et au-delà. Le score CVSS atteint 9,8 sur 10 avec un vecteur d'attaque réseau, sans nécessité d'interaction utilisateur ni de privilèges préalables.

La faille provient d'un dépassement de tampon en zone mémoire tas (heap-based buffer overflow, CWE-122) dans le traitement des messages NEGOEX spécialement forgés. Un attaquant peut en abuser pour écraser des structures mémoire et prendre le contrôle du flux d'exécution, obtenant ainsi une exécution de code arbitraire à distance avec des privilèges élevés. Son caractère wormable signifie qu'un exploit réussi sur un premier hôte peut se propager automatiquement aux systèmes connectés du même réseau, sans intervention humaine — une mécanique identique à celle qu'EternalBlue exploitait sur SMBv1 lors de WannaCry en 2017.

Le mécanisme NEGOEX est activé par défaut sur 33 configurations système Windows différentes référencées par Microsoft, via l'objet de stratégie de groupe « Network security: Allow PKU2U authentication requests to this computer to use online identities ». En environnement d'entreprise, ce paramètre est généralement actif. Les contrôleurs de domaine, serveurs de fichiers, serveurs Terminal Services, passerelles RDP et tout système exposant des services d'authentification réseau sont potentiellement affectés. Microsoft a classé ce correctif au niveau d'exploitabilité le plus élevé, indiquant une probabilité d'exploitation dans les 30 jours suivant la publication du patch.

L'autre événement critique de ce 14 juillet 2026 est l'entrée en vigueur définitive et non réversible de l'enforcement Kerberos RC4. Depuis plusieurs années, Microsoft a progressivement durci sa posture face à l'algorithme RC4 dans le protocole Kerberos, cryptographiquement faible. Les phases précédentes permettaient encore aux administrateurs de réactiver RC4 via des clés de registre en cas de problème de compatibilité. À compter d'aujourd'hui, la mise à jour cumulative de juillet 2026 supprime définitivement le contrôle de rollback RC4DefaultDisablementPhase de tous les contrôleurs de domaine Windows Server supportés.

Toute organisation n'ayant pas encore achevé sa migration vers AES 128 ou AES 256 pour l'authentification Kerberos risque de subir des échecs d'authentification dès l'application du cumulative update. Les systèmes les plus à risque sont ceux qui s'appuient encore sur RC4 : équipements réseau anciens, imprimantes, services Unix/Linux intégrés à Active Directory via Samba, applications tierces non mises à jour. Une panne d'authentification sur un contrôleur de domaine peut rapidement paralyser l'ensemble des services d'une organisation.

Au-delà de ces deux sujets majeurs, les 127 correctifs couvrent un périmètre large : sept CVE affectant Visual Studio, plusieurs vulnérabilités dans les SDK .NET, des correctifs pour les composants Windows Core, les services réseau, et des mises à jour Microsoft Edge/Chromium. Les 38 vulnérabilités critiques représentent le périmètre d'action prioritaire pour les équipes sécurité. Aucune exploitation active in the wild n'a été confirmée pour les autres correctifs critiques de cette livraison au moment de la publication, mais les délais entre publication et apparition d'exploits publics se réduisent d'année en année — souvent à 24 à 72 heures pour les composants populaires.

La priorité absolue pour les équipes sécurité ce 14 juillet est triple : appliquer le cumulative update sur les contrôleurs de domaine en tenant compte de l'enforcement Kerberos, déployer le patch CVE-2025-47981 sur les systèmes exposant NEGOEX au réseau, et surveiller les journaux d'authentification pour détecter les premiers signaux d'exploitation ou de panne liés au changement RC4.

Impact et exposition

CVE-2025-47981 touche l'intégralité du parc Windows moderne : Windows 10 version 1607 et toutes les versions ultérieures, Windows 11, Windows Server 2008 R2 SP1 jusqu'aux dernières versions de Windows Server 2025. Le vecteur réseau sans authentification préalable expose particulièrement les systèmes accessibles depuis internet ou depuis des zones réseau insuffisamment cloisonnées. En environnement d'entreprise, les contrôleurs de domaine, serveurs de fichiers, serveurs Terminal Services et passerelles RDP sont les cibles les plus probables d'une exploitation initiale, avec un risque de propagation wormable sur le LAN.

L'enforcement Kerberos RC4 concerne tous les environnements Active Directory sans exception. Les organisations exposées à des pannes d'authentification sont celles n'ayant pas audité et migré leurs services Kerberos dépendants de RC4 avant aujourd'hui — une situation encore fréquente dans les PME, les ETI et les environnements industriels héritant d'équipements anciens.

Recommandations

  • Immédiat — Contrôleurs de domaine : appliquer le cumulative update de juillet 2026 dès aujourd'hui. Vérifier avant application que tous les services Kerberos utilisent AES via l'audit des événements 4769 avec etype=23 (RC4) dans les journaux de sécurité.
  • Priorité haute — Systèmes réseau : déployer le correctif CVE-2025-47981 sur l'ensemble du parc Windows exposé au réseau interne. Prioriser les contrôleurs de domaine, serveurs de fichiers, passerelles RDP.
  • Services legacy : auditer immédiatement les équipements réseau, imprimantes et services Unix/Linux utilisant encore Kerberos RC4 pour éviter les ruptures de service post-enforcement.
  • Monitoring : activer la détection des messages NEGOEX anormaux et surveiller en temps réel les tentatives d'authentification Kerberos échouées en masse dans les heures suivant le déploiement.
  • Tests de non-régression : sur les environnements complexes, tester le cumulative update sur un contrôleur de domaine non-production avant déploiement large.

Alerte critique

CVE-2025-47981 (CVSS 9.8, wormable) sur NEGOEX peut compromettre l'intégralité d'un parc Windows sans interaction utilisateur. Déployer le correctif en urgence sur les contrôleurs de domaine et les serveurs exposés au réseau. L'enforcement Kerberos RC4 entrant en vigueur aujourd'hui peut provoquer des pannes d'authentification sur les environnements non préparés.

Comment savoir si mes systèmes utilisent encore Kerberos RC4 avant d'appliquer le patch ?

Consultez les événements ID 4769 dans les journaux de sécurité de vos contrôleurs de domaine. Le champ « Ticket Encryption Type » avec la valeur 0x17 (23 en décimal) indique RC4. La commande PowerShell Get-ADKerberosEncryptionType permet de cartographier les entités encore configurées en RC4. Tout compte ou service encore en RC4 doit être migré vers AES avant ou immédiatement après l'application du patch pour éviter les interruptions de service.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit