Une vulnérabilité critique de type zero-day a été identifiée dans les systèmes Windows, permettant aux attaquants d’escalader les privilèges grâce à une nouvelle attaque de relais Kerberos réfléchie. Cette vulnérabilité, référencée sous le code CVE-2025-33073, a été corrigée par Microsoft avec une mise à jour déployée le 10 juin 2025, dans le cadre de leurs mises à jour de sécurité régulières. Avec un score CVSS de 9,8, cette faille est jugée critique en raison de sa faible complexité et de son impact significatif sur la sécurité des systèmes.
L’attaque de relais Kerberos réfléchie représente une avancée majeure dans les techniques de relais d’authentification, contournant les restrictions de réflexion NTLM mises en place depuis 2008. L’attaque implique de contraindre un hôte Windows à s’authentifier sur le système de l’attaquant en utilisant les identifiants du compte de l’ordinateur. Un aspect technique clé est la séparation de la cible de coercition et du Service Principal Name grâce à une astuce spécifique, permettant aux attaquants de manipuler l’émission des tickets Kerberos.
L’attaque nécessite de contourner la priorisation NTLM, car Windows utilise par défaut NTLM pour les connexions à lui-même. Les attaquants modifient les outils pour désactiver NTLM, forçant ainsi l’authentification Kerberos. L’aspect le plus alarmant est l’escalade inattendue des privilèges, où les attaquants obtiennent les privilèges NT AUTHORITY\SYSTEM, permettant l’exécution de code à distance. Cela est dû aux mesures de protection de l’authentification en boucle locale de Windows, qui accordent par inadvertance des privilèges élevés.
La vulnérabilité affecte toutes les versions de Windows 10, 11, et Windows Server de 2019 à 2025. Son exploitation nécessite à la fois la coercition d’authentification et le relais SMB. Bien que la signature SMB puisse empêcher le relais, elle n’est pas universellement appliquée. Il est conseillé aux organisations d’activer la signature SMB côté serveur et d’autres mesures de sécurité pour se protéger contre de telles attaques, soulignant l’évolution continue des menaces dans les systèmes basés sur Kerberos.
