CVE-2025-47981 : Vulnérabilité critique de débordement de tampon basé sur le tas dans la négociation étendue SPNEGO de Windows
Avec plus de 1,4 milliard d’appareils fonctionnant sous Windows et l’adoption massive de Microsoft 365 et Azure, les technologies Microsoft continuent de constituer la base de l’infrastructure d’entreprise moderne. Cependant, cette omniprésence en fait également une cible de choix pour les acteurs malveillants. Selon le rapport BeyondTrust sur les vulnérabilités Microsoft 2025, l’année 2024 a connu un nombre record de 1 360 vulnérabilités liées à Microsoft — soit une augmentation de 11 % par rapport à l’année précédente — soulignant ainsi l’élargissement de la surface d’attaque.
Cette tendance haussière s’est confirmée lors du dernier Patch Tuesday de Microsoft, qui a corrigé 130 vulnérabilités, dont la critique CVE-2025-47981. Ce débordement de tampon basé sur le tas dans la négociation étendue SPNEGO de Windows (CVSS 9.8) permet l’exécution de code à distance. Alors que les acteurs malveillants exploitent de plus en plus les composants clés de Microsoft, les défenseurs doivent prioriser la détection et la mitigation rapides.
Inscrivez-vous à la plateforme SOC Prime pour accéder au flux mondial des menaces actives, offrant du renseignement sur les menaces (CTI) en temps réel et des algorithmes de détection sélectionnés pour traiter les menaces émergentes. Les équipes de sécurité peuvent explorer une vaste collection de règles Sigma enrichies de contexte et taguées « CVE », soutenues par une suite complète de produits pour l’ingénierie de détection pilotée par IA, la chasse automatisée aux menaces et la détection avancée.
Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake, et mappées au cadre MITRE ATT&CK. De plus, chaque règle est enrichie de liens CTI, de chronologies d’attaque, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Cliquez sur le bouton Explorer les détections pour découvrir l’ensemble des règles de détection dédiées à la défense proactive contre les vulnérabilités critiques filtrées par le tag « CVE ».
Les ingénieurs en sécurité peuvent également exploiter Uncoder AI— une IA privée et non agentique conçue spécifiquement pour l’ingénierie de détection informée par les menaces. Avec Uncoder, les défenseurs peuvent automatiquement convertir des IOC en requêtes de chasse exploitables, créer des règles de détection à partir de rapports bruts, activer la prédiction de tags ATT&CK, bénéficier d’une optimisation des requêtes pilotée par IA et traduire le contenu de détection sur plusieurs plateformes.
Analyse de CVE-2025-47981
Pour le Patch Tuesday de juillet 2025, Microsoft a déployé des correctifs pour 130 failles de sécurité, dont une vulnérabilité critique et wormable RCE répertoriée sous CVE-2025-47981 qui affecte Windows et Windows Server.
CVE-2025-47981 est une vulnérabilité de débordement de tampon basé sur le tas dans le mécanisme de négociation étendue SPNEGO, avec un score CVSS élevé atteignant 9.8. Un attaquant peut exploiter cette faille en envoyant un message spécialement conçu à un système vulnérable, sans aucune interaction de l’utilisateur. Le code s’exécute avec des privilèges élevés, ce qui la rend wormable. Microsoft a évalué cette vulnérabilité au plus haut niveau d’exploitabilité, indiquant une exploitation probable dans les 30 jours.
Le correctif est inclus dans les mises à jour de sécurité de nombreuses versions de Windows et Windows Server. Microsoft a précisé que cette vulnérabilité affecte Windows 10 (version 1607 et ultérieure) en raison des paramètres par défaut des GPO. En conséquence, le déploiement rapide des correctifs demeure l’approche la plus efficace pour atténuer CVE-2025-47981. Saeed Abbasi de l’unité de recherche sur les menaces Qualys recommande de prioriser les mises à jour des systèmes exposés à Internet, des actifs accessibles via VPN, ainsi que de tous les systèmes interagissant avec Active Directory. Pour les systèmes où le patching n’est pas possible, il est conseillé de désactiver le paramètre GPO PKU2U et de bloquer les ports entrants 135, 445 et 5985 au niveau du périmètre réseau.
Pour anticiper une surface d’attaque toujours plus large, les organisations peuvent s’appuyer sur l’expertise de pointe et l’IA de SOC Prime, offrant un marketplace de règles de détection, l’automatisation de la chasse aux menaces, l’ingénierie de détection, un renseignement sur les menaces natif IA, et bien plus encore pour transformer votre SOC. En tirant parti de l’ensemble complet des produits SOC Prime, soutenu par l’IA, l’automatisation et un CTI exploitable, et construit selon les principes zero-trust, les équipes de sécurité peuvent efficacement réduire les risques liés à l’exploitation des vulnérabilités et autres menaces émergentes qu’elles anticipent le plus.
