En bref

  • CVE-2025-47981 : débordement de tampon heap dans le mécanisme NEGOEX/SPNEGO de Windows — CVSS 9.8 Critical, wormable, aucune authentification requise
  • Systèmes affectés : toutes versions Windows depuis Server 2008 R2 et Windows 10 1607, y compris Windows Server 2025 et Windows 11 — 127 correctifs au total ce Patch Tuesday
  • Action urgente : appliquer les mises à jour Microsoft du Patch Tuesday du 14 juillet 2026 immédiatement ; prioriser les contrôleurs de domaine et serveurs exposés au réseau

Les faits

Le Patch Tuesday du 14 juillet 2026 est l'un des plus chargés de l'histoire récente de Microsoft, avec 127 correctifs de sécurité couvrant l'ensemble de l'écosystème Windows, Office, Azure et .NET. Parmi ces correctifs, une vulnérabilité se distingue par sa nature wormable et son score CVSS de 9.8 : CVE-2025-47981, un débordement de tampon basé sur la heap dans le mécanisme d'authentification réseau Windows SPNEGO Extended Negotiation (NEGOEX). Les analystes de Sophos, Rapid7 et Zero Day Initiative l'ont unanimement classé priorité absolue de cette vague de correctifs.

Le mécanisme NEGOEX (Extended SPNEGO), défini dans le RFC 4178, est un protocole de négociation de mécanismes d'authentification réseau utilisé par défaut dans toutes les versions de Windows depuis Server 2008 R2. Il intervient lors de l'établissement de sessions SMB, LDAP, RPC et autres protocoles réseau s'appuyant sur Kerberos ou NTLM. Cette omniprésence en fait une cible de choix : compromettre NEGOEX signifie compromettre la couche d'authentification fondamentale de l'infrastructure Windows Active Directory.

CVE-2025-47981 est classé CWE-122 (Heap-based Buffer Overflow). La vulnérabilité découle d'une gestion incorrecte de la mémoire lors du traitement de tokens d'authentification NEGOEX malformés. Un attaquant peut envoyer une séquence de messages NEGOEX forgés à un service Windows exposé sur le réseau, provoquant un débordement de tampon menant à l'exécution de code arbitraire en mode noyau (SYSTEM). Le vecteur d'attaque est réseau (AV:N), la complexité est faible (AC:L), aucun privilège n'est requis (PR:N) et aucune interaction utilisateur n'est nécessaire (UI:N) — soit un score CVSS v3.1 de 9.8 Critical avec impact maximal sur la confidentialité, l'intégrité et la disponibilité.

Le caractère wormable de cette vulnérabilité mérite une attention particulière. Un exploit réussi permet d'exécuter du code sans aucune authentification préalable sur n'importe quel service Windows négociant l'authentification via NEGOEX : partages SMB, serveurs LDAP (contrôleurs de domaine), services RPC, interfaces d'administration Windows. Dans un scénario de propagation automatique, un seul hôte compromis peut scanner le réseau local, identifier d'autres machines Windows exposant ces services, et s'y propager de manière autonome — exactement comme EternalBlue/MS17-010 avait permis la propagation de WannaCry et NotPetya en 2017.

Le CVE a été assigné en 2025 lors de sa découverte initiale par des chercheurs en sécurité. Microsoft a intégré le correctif dans le Patch Tuesday du 14 juillet 2026. D'après les bulletins de prévision publiés par Help Net Security et byteiota le 10 juillet 2026, ce correctif doit être appliqué en premier, avant toute autre mise à jour du lot. Selon The Record from Recorded Future News, au moins un bug inclus dans ce Patch Tuesday fait l'objet d'une exploitation active in-the-wild, renforçant l'urgence du déploiement.

Le Patch Tuesday de juillet 2026 intervient dans un contexte particulièrement tendu. Le 14 juillet marque également la mise en application complète de la Phase 2 du durcissement Kerberos RC4 par Microsoft : l'algorithme RC4-HMAC dans les échanges Kerberos est désactivé par défaut sur tous les systèmes Windows mis à jour. Cette mesure élimine un algorithme de chiffrement obsolète susceptible d'attaques par downgrade et de déchiffrement offline des tickets Kerberos capturés. Les administrateurs système doivent vérifier que tous leurs comptes de service, serveurs d'application et systèmes tiers dépendant de Kerberos RC4 ont été migrés vers AES-256 avant d'appliquer ces mises à jour, sous peine d'interruptions d'authentification en production.

Par ailleurs, le chercheur se faisant appeler "Nightmare Eclipse" a entretenu une tension supplémentaire autour de ce Patch Tuesday. Depuis avril 2026, ce chercheur a divulgué six vulnérabilités zero-day Windows dans le cadre d'un litige public avec le programme de bug bounty Microsoft. Il avait menacé de publier de nouvelles divulgations critiques le 14 juillet même. Microsoft a anticipé en déployant d'urgence le 9 juillet 2026 un correctif pour RoguePlanet (CVE-2026-50656, CVSS 7.8), une élévation de privilèges locale dans Microsoft Defender exploitant une condition de concurrence dans le pipeline de quarantaine du Malware Protection Engine. Le patch est intégré dans la version 1.1.26060.3008 du moteur Microsoft Malware Protection Engine.

D'après l'analyse de Sophos dans son bulletin "July Patch Tuesday offers 127 fixes", les correctifs couvrent des vulnérabilités de type RCE (Remote Code Execution), EoP (Elevation of Privilege), ID (Information Disclosure) et DoS (Denial of Service). Les composants les plus touchés incluent Windows Kernel, les protocoles d'authentification réseau, SQL Server, Azure et plusieurs composants Office. La volumétrie reste élevée mais en retrait par rapport au record de juin 2026 (206 CVEs), un niveau que les éditeurs d'analyse Senserva et Zecurit continuent de surveiller de près. Les équipes SOC doivent maintenir une vigilance accrue dans les 48 à 72 heures suivant ce Patch Tuesday : cette période est traditionnellement la plus propice à la weaponisation rapide des CVE nouvellement divulgués.

Impact et exposition

La surface d'attaque de CVE-2025-47981 est exceptionnellement large. Toute machine Windows exposant des services d'authentification réseau — contrôleur de domaine Active Directory, serveur de fichiers SMB, serveur applicatif IIS ou poste de travail en réseau local — est potentiellement vulnérable. NEGOEX est activé par défaut et ne peut généralement pas être désactivé sans impacter les fonctionnalités d'authentification Windows. Aucune mitigation de configuration ne remplace le patch. Les environnements les plus à risque sont les contrôleurs de domaine (exposition maximale sur le réseau interne), les serveurs exposés à Internet avec des services RDP, SMB ou LDAP ouverts, et les réseaux industriels (OT/ICS) dont les systèmes sont rarement patchés en temps opportun.

Le caractère wormable de la vulnérabilité signifie qu'un attaquant n'a pas besoin de cibler des utilisateurs individuellement via phishing ou ingénierie sociale. Un exploit réseau direct suffit. Ce type de vulnérabilité est particulièrement attractif pour les opérateurs de ransomware et les acteurs étatiques cherchant à compromettre des réseaux entiers rapidement. L'analogie avec MS17-010 (EternalBlue) est pertinente : exploité dans les 24 heures suivant la disponibilité d'un exploit fonctionnel lors des campagnes WannaCry et NotPetya, ce type de faille wormable a causé des milliards d'euros de dommages. Les groupes ransomware surveillent activement les Patch Tuesday pour armer rapidement les nouvelles vulnérabilités critiques.

Concernant le durcissement Kerberos RC4, les organisations utilisant des applications legacy — systèmes Unix avec Samba, anciennes versions VMware, équipements réseau Cisco ou HP avec authentification Kerberos en RC4 — pourraient subir des pannes d'authentification après application de ce Patch Tuesday. Il est impératif de réaliser un audit des comptes de service et applications utilisant RC4 avant le déploiement des mises à jour sur les contrôleurs de domaine, ou de planifier une fenêtre de maintenance dédiée si la migration RC4 vers AES n'est pas encore complète.

Recommandations immédiates

  • Appliquer immédiatement les mises à jour du Patch Tuesday du 14 juillet 2026 via Windows Update, WSUS ou Microsoft Endpoint Configuration Manager — prioriser les contrôleurs de domaine et serveurs exposés réseau
  • CVE-2025-47981 : vérifier l'installation de la mise à jour cumulative juillet 2026 via PowerShell : Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-3)}
  • Audit Kerberos RC4 préalable : exécuter Get-ADUser -Filter * -Properties msDS-SupportedEncryptionTypes | Where-Object {($_."msDS-SupportedEncryptionTypes" -band 4) -and $_."msDS-SupportedEncryptionTypes"} pour identifier les comptes encore configurés en RC4
  • Isoler temporairement les systèmes non patchables (OT, legacy) derrière des firewalls internes avec filtrage strict des ports 445 (SMB), 389/636 (LDAP), 135 (RPC)
  • Microsoft Malware Protection Engine : vérifier que la version 1.1.26060.3008 ou supérieure est déployée pour couvrir CVE-2026-50656 (RoguePlanet) — Microsoft Security Advisory juillet 2026
  • Surveiller les Event ID 4768, 4771, 4769 dans l'Observateur d'événements Windows pour détecter toute activité d'authentification NEGOEX anormale

⚠️ Urgence

CVE-2025-47981 est wormable, CVSS 9.8, sans authentification requise — applicable a toutes versions Windows depuis Server 2008. L'historique des vulnerabilites wormables (EternalBlue, MS17-010) montre une weaponisation en moins de 24h apres publication d'un exploit fonctionnel. Patch immédiat obligatoire, priorité absolue sur ce Patch Tuesday du 14 juillet 2026.

Comment savoir si je suis vulnérable ?

Tout systeme Windows non patche depuis le 14 juillet 2026 est vulnerable a CVE-2025-47981. Verifiez votre niveau de mise a jour cumulative via PowerShell : Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 5. Pour les serveurs, verifiez via WSUS ou Microsoft Intune que les mises a jour de juillet 2026 sont deployees et appliquees. Les controleurs de domaine, serveurs de fichiers et machines exposant SMB ou LDAP doivent etre patches en priorite absolue avant les postes de travail.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit