Lösungen

Preise

Partner

Login

Kostenlose Beratung
09.07.2025

Vulnérabilité critique dans l’authentification Windows

Nous souhaitons attirer votre attention sur une vulnérabilité de sécurité critique dans Microsoft Windows qui représente actuellement un risque aigu pour votre infrastructure informatique. La vulnérabilité avec un score CVSS de 9,8 affecte presque toutes les versions actuelles de Windows et Windows Server – y compris Windows Server 2008 R2 – et permet aux attaquants d’exécuter du code malveillant avec des privilèges système sans interaction utilisateur.

Un correctif immédiat des systèmes affectés est urgent de s’imposer.

Les chercheurs en sécurité informatique rapportent des attaques actives dans lesquelles, entre autres, des sessions web existantes ont été compromises et des authentifications obtenues à l’insu des utilisateurs – ce qui suggère que l’authentification active à facteurs multiples pourrait également être contournée.

Que s’est-il passé ?

Microsoft a identifié et publié une vulnérabilité grave (CVE-2025-47981) dans le protocole d’authentification SPNEGO NEGOEX – une partie importante de l’authentification Windows dans l’environnement de domaine, entre autres. Cette vulnérabilité permet aux attaquants d’exécuter un code arbitraire avec des privilèges système – sans se connecter et sans aucune action utilisateur.

La menace est particulièrement sérieuse car Microsoft la classe comme « vermeable ». Cela signifie que le malware peut se propager automatiquement via les réseaux. Selon Microsoft, un premier abus de cette vulnérabilité est attendu prochainement.

Vulnérabilité signalée

Cette vulnérabilité permet aux attaquants non authentifiés d’exécuter du code avec des privilèges système via des messages RÉSEAU conçus, déclenchant un « débordement de tampon basé sur le tas ». C’est un bug dans la gestion de la mémoire. Lorsqu’ils sont exécutés, les programmes réservent de l’espace dans ce qu’on appelle le tas – une zone mémoire dynamique qui est demandée de manière flexible à l’exécution.

Si plus de détails sont écrits dans cette zone que prévu, les zones mémoire voisines peuvent être manipulées. Cela permet aux attaquants d’injecter et d’exécuter leur propre code malveillant – dans ce cas, même avec les privilèges les plus élevés.

Qu’est-ce qui est affecté ?

Cette vulnérabilité affecte tous les clients Windows à partir de Windows 10 version 1607 car ces versions ont la politique de groupe suivante activée par défaut : « Sécurité réseau : Autoriser les requêtesd’authentification PKU2U à cet ordinateur avec des identités en ligne ».

Ce réglage par défaut signifie que la surface d’attaque est déjà active sur de nombreux systèmes – même sans configuration spéciale.

Les systèmes dans lesquels NEGOEX est utilisé en combinaison avec les services suivants sont également particulièrement à risque :

  • Active Directory / Contrôleur de domaine
  • Accès RDP
  • Passerelles VPN
  • Partages de fichiers SMB
  • Gestion à distance de Windows (WinRM)

Que puis-je faire ?

La vulnérabilité CVE-2025-47981 représente une menace aiguë pour les réseaux basés sur Windows. La combinaison d’une haute criticité, d’une facilité d’exploitation et de la possibilité d’une distribution automatique rend cette vulnérabilité particulièrement dangereuse.

Nous vous recommandons d’agir immédiatement pour prévenir d’éventuels dommages :

  1. Priorité : Installez immédiatement les dernières mises à jour de sécurité de Microsoft, en particulier sur les systèmes accessibles au public ou critiques pour l’entreprise.
  2. Si vous ne pouvez pas patcher, bloquez l’accès réseau aux ports 135, 445 et 5985 si c’est techniquement possible.
  3. Utilisez la Stratégie de Groupe (GPO) pour désactiver le paramètre « Autoriser les requêtes d’authentification PKU2U » si nécessaire.
  4. Vérifiez quels systèmes sont potentiellement vulnérables et privilégiez la sécurisation des services sensibles tels que AD, RDP ou VPN.

D’experts pour experts :

Note importante : veuillez noter que bloquer les ports 135, 445 et 5985 peut entraîner les effets suivants :

  • Partages de fichiers (disques réseau) : Ces éléments peuvent ne plus être accessibles.
  • Politique de groupe : Les GPO peuvent échouer ou être retardés selon l’environnement.
  • PowerShell à distance (WinRM) : Les solutions basées sur des scripts telles que SCCM, Ansible ou d’autres outils d’automatisation peuvent ne plus fonctionner.
  • Accès MI/DCOM : Les outils de surveillance, d’inventaire ou d’administration peuvent être perturbés, par exemple lors de la connexion à des systèmes distants.

Voici comment identifier une exploitation potentielle de la vulnérabilité :

  • Utilisez l’EDR/antivirus avec l’analyse de la mémoire (par exemple Defender for Endpoint, CrowdStrike, SentinelOne) pour détecter toute activité suspecte en mémoire.
  • Activez la surveillance des journaux d’événements – portez une attention particulière aux plantages LSASS et aux connexions réseau inhabituelles.
  • Utilisez Sysmon (en particulier les événements : ID 1 : Début du processus, ID 10 : Accès à d’autres processus, ID 11 : Opérations de fichiers)
Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung