Les mises à jour de sécurité d’avril 2025 pour Windows Server sont à l’origine de problèmes d’authentification sur les contrôleurs de domaine Active Directory. Quelles sont les versions affectées ? Dans quels cas de figure ? Voici ce que l’on sait.
Le mardi 8 avril 2025, Microsoft a publié de nouvelles mises à jour cumulatives obligatoires pour ses OS, dont Windows Server. Il y a notamment la mise à jour KB5055523 à destination de Windows Server 2025 et à l’origine de ces problèmes de connexion. Toutefois, ce n’est pas un cas isolé puisque Microsoft est formel : Windows Server 2016, 2019 et 2022 sont aussi impactés.
L’entreprise américaine a reconnu l’existence de ce problème et la bonne nouvelle, c’est que tout le monde n’est pas concerné. En effet, voici ce que l’on peut lire sur leur site : “Après l’installation de la mise à jour de sécurité mensuelle de Windows du 8 avril 2025 (KB5055523) ou d’une version ultérieure, les contrôleurs de domaine Active Directory (DC) peuvent rencontrer des problèmes lors du traitement des connexions ou délégations Kerberos à l’aide d’informations d’identification basées sur des certificats qui reposent sur la confiance en la clé via le champ Active Directory msds-KeyCredentialLink.”
Dans les faits, ces problèmes de connexion peuvent impacter les environnements où sont déployées les méthodes d’authentification suivantes :
Windows Hello for Business (WHfB) avec une architecture Key Trust
L’authentification par clé publique de l’appareil (connue sous le nom Machine PKINIT).
L’authentification par carte à puce
L’authentification SSO via un système tiers
Microsoft donne également des précisions sur les symptômes observés avec l’apparition d’événements avec l’ID 45 ou l’ID 21, avec différents messages d’erreurs :
The Key Distribution Center (KDC) encountered a client certificate that was valid but did not chain to a root in the NTAuth store
The client certificate for the user is not valid and resulted in a failed smartcard logon.
À cause de ce problème, l’utilisateur peut-être dans l’incapacité de se connecter via la méthode d’authentification en question.
Un correctif de sécurité à l’origine de ce bug
Le coupable de ce dysfonctionnement a été identifié par Microsoft : il s’agit du correctif de sécurité pour la faille associée à la référence CVE-2025-26647. Celle-ci est située dans Kerberos et permettrait à un attaquant authentifié d’élever ses privilèges. En complément, un document de support a été publié par Microsoft.
“Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait se voir attribuer par le centre de distribution de clés des droits beaucoup plus étendus que prévu sur le certificat.”, précise Microsoft.
“Un attaquant authentifié peut exploiter cette vulnérabilité en obtenant un certificat contenant la valeur SKI (Subject Key Identifier) cible auprès d’une autorité de certification (CA). L’attaquant pourrait alors utiliser ce certificat pour obtenir un Ticket Granting Ticket (TGT) pour l’utilisateur cible à partir du Key Distribution Center (KDC).”, peut-on lire.
En attendant une solution pérenne, Microsoft évoque une solution de contournement. Celle-ci consiste à modifier la valeur du registre AllowNtAuthPolicyBypass située dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc en la passant de “2” à “1”. Ceci doit permettre aux utilisateurs de se connecter de nouveau.
Avez-vous rencontré ce problème ? N’hésitez pas à nous faire un retour.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.