Le Patch Tuesday du 14 juillet 2026 publie 127 correctifs dont CVE-2025-47981, une faille wormable CVSS 9.8 dans le mecanisme NEGOEX/SPNEGO de Windows — priorite absolue pour tous les systemes Windows depuis Server 2008.
En bref
- CVE-2025-47981 : débordement de tampon heap dans le mécanisme NEGOEX/SPNEGO de Windows — CVSS 9.8 Critical, wormable, aucune authentification requise
- Systèmes affectés : toutes versions Windows depuis Server 2008 R2 et Windows 10 1607, y compris Windows Server 2025 et Windows 11 — 127 correctifs au total ce Patch Tuesday
- Action urgente : appliquer les mises à jour Microsoft du Patch Tuesday du 14 juillet 2026 immédiatement ; prioriser les contrôleurs de domaine et serveurs exposés au réseau
Les faits
Le Patch Tuesday du 14 juillet 2026 est l'un des plus chargés de l'histoire récente de Microsoft, avec 127 correctifs de sécurité couvrant l'ensemble de l'écosystème Windows, Office, Azure et .NET. Parmi ces correctifs, une vulnérabilité se distingue par sa nature wormable et son score CVSS de 9.8 : CVE-2025-47981, un débordement de tampon basé sur la heap dans le mécanisme d'authentification réseau Windows SPNEGO Extended Negotiation (NEGOEX). Les analystes de Sophos, Rapid7 et Zero Day Initiative l'ont unanimement classé priorité absolue de cette vague de correctifs.
Le mécanisme NEGOEX (Extended SPNEGO), défini dans le RFC 4178, est un protocole de négociation de mécanismes d'authentification réseau utilisé par défaut dans toutes les versions de Windows depuis Server 2008 R2. Il intervient lors de l'établissement de sessions SMB, LDAP, RPC et autres protocoles réseau s'appuyant sur Kerberos ou NTLM. Cette omniprésence en fait une cible de choix : compromettre NEGOEX signifie compromettre la couche d'authentification fondamentale de l'infrastructure Windows Active Directory.
CVE-2025-47981 est classé CWE-122 (Heap-based Buffer Overflow). La vulnérabilité découle d'une gestion incorrecte de la mémoire lors du traitement de tokens d'authentification NEGOEX malformés. Un attaquant peut envoyer une séquence de messages NEGOEX forgés à un service Windows exposé sur le réseau, provoquant un débordement de tampon menant à l'exécution de code arbitraire en mode noyau (SYSTEM). Le vecteur d'attaque est réseau (AV:N), la complexité est faible (AC:L), aucun privilège n'est requis (PR:N) et aucune interaction utilisateur n'est nécessaire (UI:N) — soit un score CVSS v3.1 de 9.8 Critical avec impact maximal sur la confidentialité, l'intégrité et la disponibilité.
Le caractère wormable de cette vulnérabilité mérite une attention particulière. Un exploit réussi permet d'exécuter du code sans aucune authentification préalable sur n'importe quel service Windows négociant l'authentification via NEGOEX : partages SMB, serveurs LDAP (contrôleurs de domaine), services RPC, interfaces d'administration Windows. Dans un scénario de propagation automatique, un seul hôte compromis peut scanner le réseau local, identifier d'autres machines Windows exposant ces services, et s'y propager de manière autonome — exactement comme EternalBlue/MS17-010 avait permis la propagation de WannaCry et NotPetya en 2017.
Le CVE a été assigné en 2025 lors de sa découverte initiale par des chercheurs en sécurité. Microsoft a intégré le correctif dans le Patch Tuesday du 14 juillet 2026. D'après les bulletins de prévision publiés par Help Net Security et byteiota le 10 juillet 2026, ce correctif doit être appliqué en premier, avant toute autre mise à jour du lot. Selon The Record from Recorded Future News, au moins un bug inclus dans ce Patch Tuesday fait l'objet d'une exploitation active in-the-wild, renforçant l'urgence du déploiement.
Le Patch Tuesday de juillet 2026 intervient dans un contexte particulièrement tendu. Le 14 juillet marque également la mise en application complète de la Phase 2 du durcissement Kerberos RC4 par Microsoft : l'algorithme RC4-HMAC dans les échanges Kerberos est désactivé par défaut sur tous les systèmes Windows mis à jour. Cette mesure élimine un algorithme de chiffrement obsolète susceptible d'attaques par downgrade et de déchiffrement offline des tickets Kerberos capturés. Les administrateurs système doivent vérifier que tous leurs comptes de service, serveurs d'application et systèmes tiers dépendant de Kerberos RC4 ont été migrés vers AES-256 avant d'appliquer ces mises à jour, sous peine d'interruptions d'authentification en production.
Par ailleurs, le chercheur se faisant appeler "Nightmare Eclipse" a entretenu une tension supplémentaire autour de ce Patch Tuesday. Depuis avril 2026, ce chercheur a divulgué six vulnérabilités zero-day Windows dans le cadre d'un litige public avec le programme de bug bounty Microsoft. Il avait menacé de publier de nouvelles divulgations critiques le 14 juillet même. Microsoft a anticipé en déployant d'urgence le 9 juillet 2026 un correctif pour RoguePlanet (CVE-2026-50656, CVSS 7.8), une élévation de privilèges locale dans Microsoft Defender exploitant une condition de concurrence dans le pipeline de quarantaine du Malware Protection Engine. Le patch est intégré dans la version 1.1.26060.3008 du moteur Microsoft Malware Protection Engine.
D'après l'analyse de Sophos dans son bulletin "July Patch Tuesday offers 127 fixes", les correctifs couvrent des vulnérabilités de type RCE (Remote Code Execution), EoP (Elevation of Privilege), ID (Information Disclosure) et DoS (Denial of Service). Les composants les plus touchés incluent Windows Kernel, les protocoles d'authentification réseau, SQL Server, Azure et plusieurs composants Office. La volumétrie reste élevée mais en retrait par rapport au record de juin 2026 (206 CVEs), un niveau que les éditeurs d'analyse Senserva et Zecurit continuent de surveiller de près. Les équipes SOC doivent maintenir une vigilance accrue dans les 48 à 72 heures suivant ce Patch Tuesday : cette période est traditionnellement la plus propice à la weaponisation rapide des CVE nouvellement divulgués.
Impact et exposition
La surface d'attaque de CVE-2025-47981 est exceptionnellement large. Toute machine Windows exposant des services d'authentification réseau — contrôleur de domaine Active Directory, serveur de fichiers SMB, serveur applicatif IIS ou poste de travail en réseau local — est potentiellement vulnérable. NEGOEX est activé par défaut et ne peut généralement pas être désactivé sans impacter les fonctionnalités d'authentification Windows. Aucune mitigation de configuration ne remplace le patch. Les environnements les plus à risque sont les contrôleurs de domaine (exposition maximale sur le réseau interne), les serveurs exposés à Internet avec des services RDP, SMB ou LDAP ouverts, et les réseaux industriels (OT/ICS) dont les systèmes sont rarement patchés en temps opportun.
Le caractère wormable de la vulnérabilité signifie qu'un attaquant n'a pas besoin de cibler des utilisateurs individuellement via phishing ou ingénierie sociale. Un exploit réseau direct suffit. Ce type de vulnérabilité est particulièrement attractif pour les opérateurs de ransomware et les acteurs étatiques cherchant à compromettre des réseaux entiers rapidement. L'analogie avec MS17-010 (EternalBlue) est pertinente : exploité dans les 24 heures suivant la disponibilité d'un exploit fonctionnel lors des campagnes WannaCry et NotPetya, ce type de faille wormable a causé des milliards d'euros de dommages. Les groupes ransomware surveillent activement les Patch Tuesday pour armer rapidement les nouvelles vulnérabilités critiques.
Concernant le durcissement Kerberos RC4, les organisations utilisant des applications legacy — systèmes Unix avec Samba, anciennes versions VMware, équipements réseau Cisco ou HP avec authentification Kerberos en RC4 — pourraient subir des pannes d'authentification après application de ce Patch Tuesday. Il est impératif de réaliser un audit des comptes de service et applications utilisant RC4 avant le déploiement des mises à jour sur les contrôleurs de domaine, ou de planifier une fenêtre de maintenance dédiée si la migration RC4 vers AES n'est pas encore complète.
Recommandations immédiates
- Appliquer immédiatement les mises à jour du Patch Tuesday du 14 juillet 2026 via Windows Update, WSUS ou Microsoft Endpoint Configuration Manager — prioriser les contrôleurs de domaine et serveurs exposés réseau
- CVE-2025-47981 : vérifier l'installation de la mise à jour cumulative juillet 2026 via PowerShell :
Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-3)} - Audit Kerberos RC4 préalable : exécuter
Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | Where-Object {($_."msDS-SupportedEncryptionTypes" -band 4) -and $_."msDS-SupportedEncryptionTypes"}pour identifier les comptes encore configurés en RC4 - Isoler temporairement les systèmes non patchables (OT, legacy) derrière des firewalls internes avec filtrage strict des ports 445 (SMB), 389/636 (LDAP), 135 (RPC)
- Microsoft Malware Protection Engine : vérifier que la version 1.1.26060.3008 ou supérieure est déployée pour couvrir CVE-2026-50656 (RoguePlanet) — Microsoft Security Advisory juillet 2026
- Surveiller les Event ID 4768, 4771, 4769 dans l'Observateur d'événements Windows pour détecter toute activité d'authentification NEGOEX anormale
⚠️ Urgence
CVE-2025-47981 est wormable, CVSS 9.8, sans authentification requise — applicable a toutes versions Windows depuis Server 2008. L'historique des vulnerabilites wormables (EternalBlue, MS17-010) montre une weaponisation en moins de 24h apres publication d'un exploit fonctionnel. Patch immédiat obligatoire, priorité absolue sur ce Patch Tuesday du 14 juillet 2026.
Comment savoir si je suis vulnérable ?
Tout systeme Windows non patche depuis le 14 juillet 2026 est vulnerable a CVE-2025-47981. Verifiez votre niveau de mise a jour cumulative via PowerShell : Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5. Pour les serveurs, verifiez via WSUS ou Microsoft Intune que les mises a jour de juillet 2026 sont deployees et appliquees. Les controleurs de domaine, serveurs de fichiers et machines exposant SMB ou LDAP doivent etre patches en priorite absolue avant les postes de travail.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-25089 : RCE non-auth FortiSandbox CVSS 9.8 urgent
CVE-2026-25089 est une injection de commandes OS non authentifiée dans l'interface Web de FortiSandbox (CVSS 9.8 Critical). Sans credentials, un attaquant exécute du code en root. Patch FortiSandbox 5.0.6 et 4.4.9 disponible — juillet 2026.
CVE-2026-45659 : SharePoint RCE CVSS 8.8 Storm-2603 actif
CVE-2026-45659, deserialisation RCE dans SharePoint Server on-premises (CVSS 8.8), est activement exploitee par Storm-2603 pour deployer le ransomware Warlock. CISA KEV depuis le 1er juillet 2026. Patch critique disponible depuis mai 2026.
CVE-2026-12569 : RCE PTC Windchill CVSS 9.3, CISA KEV
CVE-2026-12569 dans PTC Windchill permet une RCE non-authentifiée CVSS 9.3 exploitée activement via des web shells JSP. Ajoutée au catalogue CISA KEV — patch le 14 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire