La vulnérabilité CVE-2025-60704 affecte le protocole Kerberos utilisé par Active Directory. Cette faille critique permet à un attaquant non autorisé d’élever ses privilèges à distance, mettant en danger la sécurité des environnements Windows. Il est essentiel pour les administrateurs systèmes de comprendre les risques liés à cette vulnérabilité et d’appliquer rapidement les correctifs disponibles.

En effet, Kerberos est la pierre angulaire de l’authentification dans les réseaux Windows. Ainsi, toute faiblesse dans ce mécanisme expose les infrastructures à des compromissions majeures. Cette article vous explique les détails techniques de la CVE-2025-60704, les risques associés et les bonnes pratiques de protection.

Qu’est-ce que la vulnérabilité CVE-2025-60704 dans Kerberos ?

La CVE-2025-60704 correspond à une faille dans l’implémentation de Kerberos sur les systèmes Windows. Plus précisément, elle résulte d’une étape cryptographique manquante dans le protocole d’authentification, ce qui permet à un attaquant d’élever ses privilèges à distance sans autorisation préalable.

Cette vulnérabilité est classée comme importante et a déjà fait l’objet d’attaques actives. De plus, elle peut être exploitée à distance, ce qui augmente considérablement le risque pour les entreprises qui ne disposent pas encore de correctifs à jour.

Concrètement, un attaquant peut profiter de cette faille pour usurper l’identité d’un utilisateur ou d’un service, puis obtenir des droits élevés dans le domaine Active Directory. Ceci compromet gravement la confidentialité, l’intégrité et la disponibilité des ressources réseau.

Fonctionnement et mécanisme d’attaque de la faille Kerberos

Kerberos repose sur un échange sécurisé de tickets pour authentifier les utilisateurs et services dans un domaine Active Directory. Cependant, dans le contexte de la CVE-2025-60704, une étape cryptographique essentielle est omise, rendant le processus vulnérable à une élévation de privilèges.

De plus, cette vulnérabilité s’inscrit dans un ensemble plus large d’attaques liées à Kerberos, notamment celles impliquant des Ghost SPNs (Service Principal Names fantômes) et des attaques par réflexion Kerberos. Ces dernières permettent de relayer des tickets d’authentification pour obtenir un accès SYSTEM complet à une machine Windows.

Par conséquent, un attaquant disposant d’un compte utilisateur standard dans le domaine peut exploiter cette faille s’il réussit à :

• Identifier un Ghost SPN mal configuré.
• Enregistrer un enregistrement DNS frauduleux pointant vers sa machine.
• Intercepter et relayer un ticket Kerberos via des outils spécialisés.
• Obtenir un accès administrateur local ou SYSTEM sur une machine cible.

Cette méthode est particulièrement dangereuse car elle ne nécessite pas d’accès initial privilégié et peut contourner plusieurs mécanismes de sécurité par défaut.

Quels sont les risques concrets pour les entreprises ?

Les risques liés à la vulnérabilité Kerberos CVE-2025-60704 sont multiples et peuvent avoir des conséquences graves sur la sécurité des infrastructures IT.

Premièrement, une exploitation réussie permet à un attaquant d’obtenir des privilèges élevés dans Active Directory. Ainsi, il peut accéder à des données sensibles, modifier des configurations critiques, voire déployer des logiciels malveillants à l’échelle du réseau.

Ensuite, cette faille ouvre la porte à des attaques sophistiquées d’escalade de privilèges et de mouvement latéral, facilitant la compromission complète de l’environnement Windows. Par exemple, l’attaquant peut prendre le contrôle de serveurs de fichiers, d’applications métiers, ou de systèmes de gestion.

Enfin, les conséquences réglementaires et financières ne sont pas à négliger. Une faille dans Active Directory peut entraîner des fuites de données personnelles, ce qui expose les entreprises à des sanctions au regard du RGPD et à une perte de confiance de leurs clients.

Mesures de prévention et correctifs disponibles

Face à la menace posée par la CVE-2025-60704, il est impératif d’agir rapidement pour sécuriser vos systèmes Active Directory. Microsoft a publié un correctif officiel dans le cadre du Patch Tuesday de novembre 2025.

De plus, il est conseillé de :

• Appliquer immédiatement le patch de sécurité sur tous les contrôleurs de domaine et machines concernées.
• Vérifier et corriger la configuration des SPNs pour éliminer les Ghost SPNs.
• Restreindre les permissions des utilisateurs pour qu’ils ne puissent pas enregistrer d’enregistrements DNS de manière non contrôlée.
• Activer la signature SMB obligatoire pour empêcher les attaques par relais Kerberos.
• Surveiller les journaux d’événements Active Directory pour détecter toute activité suspecte liée à l’authentification Kerberos.

Par ailleurs, il est recommandé de consulter la documentation officielle Microsoft sur Kerberos et Active Directory pour approfondir la compréhension des mécanismes de sécurité.

Impact sur les environnements Active Directory et recommandations post-patch

Après l’application du patch, il est essentiel de réaliser des audits réguliers pour confirmer l’efficacité des mesures prises. En effet, les vulnérabilités liées à Kerberos sont souvent exploitées via des combinaisons de failles, notamment avec des bugs comme la CVE-2025-58726, qui concerne les Ghost SPNs et les attaques par relais SMB.

De même, il faut maintenir un cycle de mises à jour rigoureux pour éviter que des failles similaires ne soient exploitées ultérieurement. La surveillance proactive des configurations et des comportements réseau est aussi un levier important pour détecter précocement toute tentative d’attaque.

Enfin, la formation des équipes IT à la compréhension des risques liés à Kerberos et à Active Directory contribue à renforcer la posture de sécurité globale. Une bonne hygiène numérique et une politique de gestion des privilèges stricte sont indispensables.

Les autres vulnérabilités Kerberos à surveiller en 2025

La CVE-2025-60704 s’inscrit dans une série de vulnérabilités affectant Kerberos récemment découvertes. Par exemple, la CVE-2025-58726 exploite les Ghost SPNs pour une élévation de privilèges via SMB, tandis que d’autres failles concernent des erreurs de synchronisation ou des problèmes de validation d’entrée dans les échanges Kerberos.

Par conséquent, il est crucial d’intégrer une veille sécurité permanente sur les vulnérabilités Kerberos et Active Directory. La réactivité dans le déploiement des corrections et la mise en place de protections complémentaires sont les meilleurs moyens d’atténuer ces risques.

Il est aussi recommandé d’utiliser des outils de sécurité spécialisés pour détecter les tentatives d’attaque Kerberos et de mettre en place des règles strictes de gestion des comptes et des accès dans l’Active Directory.

FAQ

Qu’est-ce que Kerberos dans Active Directory ?

Kerberos est un protocole d’authentification sécurisé utilisé par Active Directory pour vérifier l’identité des utilisateurs et des services dans un réseau Windows. Il fonctionne avec un système de tickets pour garantir la confidentialité et l’intégrité des échanges.

Comment la CVE-2025-60704 affecte-t-elle la sécurité de Kerberos ?

La CVE-2025-60704 introduit une faille due à une étape cryptographique manquante dans Kerberos. Cela permet à un attaquant d’élever ses privilèges à distance, compromettant ainsi la sécurité des authentifications et ouvrant la porte à une prise de contrôle du réseau.

Quels sont les meilleurs moyens de se protéger contre cette vulnérabilité ?

La meilleure protection consiste à appliquer sans délai le patch officiel publié en novembre 2025. Par ailleurs, il faut corriger les configurations erronées des SPNs, restreindre les permissions DNS, activer la signature SMB, et surveiller les journaux pour détecter toute activité suspecte.

Conclusion

La vulnérabilité CVE-2025-60704 représente une menace sérieuse pour les infrastructures Active Directory reposant sur Kerberos. En effet, elle permet à des acteurs malveillants d’élever leurs privilèges à distance, compromettant ainsi la sécurité des systèmes Windows.

Par conséquent, il est indispensable pour les entreprises françaises et européennes d’agir rapidement en appliquant les correctifs Microsoft et en renforçant la configuration de leur Active Directory. Ainsi, elles limitent les risques d’attaques ciblées et protègent leurs données sensibles.

Enfin, une veille constante et une bonne gouvernance des identités restent les clés pour prévenir efficacement ce type de vulnérabilités dans les années à venir.

Votre réseau est-il à l’abri des vulnérabilités ? 🔍 Start.BZH vous forme à la sécurisation réseau à domicile à Lorient et alentours. Contactez-nous au 02 55 99 56 06 ou explorez nos autres articles Sécurité & Arnaques.