Patch Tuesday Microsoft de juillet 2025 : l’alerte aux RSSI de Satnam Narang chez Tenable

juillet 2025 par Satnam Narang, Senior Staff Research Engineer chez Tenable

Dans son analyse du Patch Tuesday Microsoft de juillet, Tenable relève que Microsoft a corrigé plus de 125 vulnérabilités (CVE) pour le troisième mois de juillet consécutif : 130 en juillet 2023, 138 en juillet 2024 et 127 en juillet 2025. Ce chiffre se maintient donc à un niveau largement supérieur à la moyenne de 100 CVE observée depuis juillet 2017.

Le commentaire et l’alerte adressée aux RSSI (hors Patch Tuesday) de Satnam Narang, Senior Staff Research Engineer au sein de la RSO Team chez Tenable.

"La vulnérabilité la plus critique ce mois-ci est la CVE-2025-47981, une faille d’exécution de code à distance dans SPNEGO Extended Negotiation (NEGOEX), une extension du mécanisme SPNEGO utilisé pour négocier le mécanisme de sécurité avant authentification. Ce problème met en évidence l’importance de vérifier les politiques et configurations par défaut, qui peuvent exposer inutilement l’entreprise à des risques.

"SharePoint reste une cible prioritaire : deux nouvelles failles d’exécution de code à distance (CVE-2025-49701 et CVE-2025-49704) nécessitent une authentification préalable sur un serveur SharePoint vulnérable avec au moins les privilèges de propriétaire de site. Bien que le niveau d’accès requis soit élevé, ces vulnérabilités soulignent l’importance d’auditer les privilèges au sein de l’organisation. Les attaquants exploitant ces failles ont souvent besoin de droits étendus, d’où la nécessité de limiter les mouvements latéraux. Rappelons que chaque année, de nombreuses vulnérabilités affectant SharePoint sont révélées lors des Patch Tuesday. En 2025, on en compte déjà 16, 20 en 2022, 25 en 2023 et 20 en 2024."

Avis aux RSSI, hors Patch Tuesday !

"Il me semble important pour les responsables de la sécurité (CSO) de se concentrer sur les récentes vulnérabilités affectant Citrix NetScaler. En particulier la CVE-2025-5777, également connue sous le nom de CitrixBleed 2, qui ressemble fortement à la faille CitrixBleed initiale. Elle permet aux attaquants de voler des jetons de session sur les systèmes NetScaler et de les utiliser pour accéder au réseau, même après l’application des correctifs. Des rapports indiquent que l’exploitation de CitrixBleed 2 remonte à la mi-juin. Les organisations utilisant NetScaler doivent donc analyser leurs journaux à la recherche de séquences rapides de requêtes suspectes et d’indicateurs de compromission connus. Surtout, elles doivent invalider les jetons de session pour empêcher toute activité ultérieure."