À l’occasion du Patch Tuesday de novembre 2025, Microsoft a corrigé une faille de sécurité importante dans Kerberos affectant directement les environnements Active Directory. Quels sont les risques ? Faisons le point sur cette vulnérabilité.
Une faiblesse découverte dans la délégation Kerberos
Eliran Partush et Dor Segal, deux chercheurs de chez Silverfort ont fait la découverte d’une faille de sécurité affectant la délégation Kerberos dans Active Directory. Pour rappel, la délégation Kerberos AD est un mécanisme de sécurité : elle permet à une application d’agir au nom d’un utilisateur lorsqu’elle accède à une ressource, tout en limitant la portée de cette action. Mais cette faiblesse découverte par Silverfort met en péril la sécurité de ce mécanisme en tirant profit d’un problème interne dans le protocole Kerberos.
“L’impact est clair : toute organisation utilisant Active Directory, avec la fonctionnalité de délégation Kerberos activée, est concernée. Cela signifie que des milliers d’entreprises à travers le monde sont touchées par cette vulnérabilité.”, précise le rapport.
Associée à la référence CVE-2025-60704 et à un score CVSS de 7,5 sur 10, cette faille permet, via une attaque de type Man-in-the-Middle, d’usurper l’identité de n’importe quel utilisateur et, dans certains cas, de prendre le contrôle total d’un domaine Active Directory. Désormais, elle a été corrigée par Microsoft à l’occasion du Patch Tuesday de novembre 2025.
“Cette faille nous a permis non seulement d’usurper un utilisateur compromis, mais aussi d’escalader nos privilèges et d’endosser d’autres identités plus puissantes.”, peut-on lire dans leur rapport.
Active Directory : l’exploitation de la CVE-2025-60704
Pour exploiter la vulnérabilité, l’attaquant doit disposer d’un accès à l’environnement cible grâce à un compte utilisateur compromis. Une fois en place, un attaquant pourrait :
Escalader ses privilèges jusqu’à un compte administrateur de domaine,
Usurper n’importe quelle identité au sein de l’organisation,
Se déplacer latéralement sur le réseau pour accéder à des ressources sensibles.
De son côté, Microsoft précise que pour exploiter cette vulnérabilité, un attaquant doit inciter une victime à se connecter à un serveur malveillant, par exemple un partage SMB piégé, permettant ainsi au serveur contrôlé par l’attaquant d’usurper l’identité d’autres comptes. “L’attaquant doit s’introduire dans le chemin logique du réseau entre la cible et la ressource demandée par la victime afin de lire ou de modifier les communications réseau.”, précise Microsoft, ce qui met en évidence une attaque Man-in-the-Middle.
“La délégation sera toujours un élément important à prendre en compte dans le domaine de la cybersécurité, pour une raison principale : la possibilité d’usurper l’identité d’un utilisateur constitue une cible attrayante pour les pirates.”, rappellent les chercheurs. L’occasion de préciser que Microsoft n’a pas connaissance de l’exploitation de cette vulnérabilité et qu’il ne s’agit pas d’une zero-day.
Pour protéger son environnement AD, il est nécessaire d’installer le correctif de sécurité publié dans le cadre du Patch Tuesday de novembre 2025. En complément, il peut s’avérer judicieux de surveiller toute activité liée à la délégation Kerberos (Kerberos Constrained Delegation).
Microsoft précise que Windows 10, Windows 11 et toutes les versions de Windows Server 2008 à Windows Server 2025 sont affectées par cette faille de sécurité.
Cette découverte sera détaillée lors de Black Hat Europe à Londres, dans une présentation assurée par l’équipe de recherche de Silverfort.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.