ISGroup Conseil en Cybersécurité

CVE-2025-47981 : Dépassement de tampon (heap buffer overflow) avec possibilité d’exécution de code à distance (RCE) dans le mécanisme NEGOEX de SPNEGO sous Windows

La CVE-2025-47981 est une vulnérabilité critique de type exécution de code à distance (RCE) dans le mécanisme de sécurité SPNEGO Extended Negotiation (NEGOEX). Découverte et divulguée en juillet 2025, cette vulnérabilité de type dépassement de tampon basé sur le tas (heap-based buffer overflow) affecte les machines Windows 10 à partir de la version 1607. Cette CVE affiche un score de gravité de 9,8 et a été corrigée via la mise à jour Microsoft de juillet 2025.

Date11/07/2025 14:38:01

Résumé technique

La vulnérabilité se manifeste comme un dépassement de tampon (buffer overflow) classique sur le tas, où des messages SPNEGO NEGOEX malformés peuvent entraîner une écriture au-delà des régions de mémoire allouées sur le tas.

Le composant Windows SPNEGO Extended Negotiation permet à des attaquants distants non authentifiés d’exécuter du code simplement en envoyant un message malveillant à un système vulnérable.

Le vecteur d’attaque exploite le fait que la négociation SPNEGO survient lors des premières phases des protocoles d’authentification tels que SMB, HTTP et LDAP, la rendant accessible aux utilisateurs non authentifiés.

Les attaquants peuvent obtenir l’exécution de code arbitraire avec les privilèges SYSTEM, car le service d’authentification opère généralement dans un contexte à haut privilège.

Microsoft a attribué à cette CVE un indice d’exploitabilité élevé et prévoit des attaques dans les 30 jours. Cependant, à l’heure actuelle, aucun détail technique ni exploit public n’est disponible.

Recommandations

  1. Corriger immédiatement : Prioriser l’implémentation des mises à jour de sécurité Microsoft de juillet 2025 sur tous les systèmes Windows 10 version 1607 et ultérieures.
  2. Isoler les réseaux : Mettre en œuvre la segmentation du réseau pour limiter l’exposition des services d’authentification critiques.
  3. Surveillance : Déployer des solutions de surveillance réseau pour détecter les modèles de trafic SPNEGO anormaux et envisager l’utilisation de pare-feu applicatifs dotés de capacités d’inspection approfondie des paquets (DPI).

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *