Une vulnérabilité critique, connue sous le nom de “Reflective Kerberos Relay Attack”, suscite une inquiétude majeure dans l’environnement de sécurité Windows. Identifiée sous le code CVE-2025-33073, cette faille a été découverte par RedTeam Pentesting et corrigée par Microsoft avec un patch le 10 juin 2025. Cette vulnérabilité permet à des utilisateurs ayant de faibles privilèges dans Active Directory d’escalader leurs droits pour obtenir un accès NT AUTHORITY\SYSTEM sur des machines Windows reliées au domaine qui n’appliquent pas la signature SMB.
L’attaque utilise des méthodes avancées, en commençant par une coercition d’authentification. Les attaquants utilisent des outils comme wspcoerce ou NetExec pour forcer un hôte Windows à se connecter à un serveur SMB malveillant qu’ils contrôlent, en utilisant des API RPC pour déclencher une connexion SMB sortante. En manipulant la résolution du Service Principal Name (SPN), les attaquants peuvent s’assurer que des tickets Kerberos sont émis pour l’hôte de la victime plutôt que pour le leur.
Le ticket de service Kerberos est ensuite capturé et relayé vers l’hôte d’origine, permettant à l’attaquant de s’authentifier en tant que compte de l’ordinateur et d’obtenir un accès au niveau SYSTEM. Cet accès non autorisé permet l’exécution de commandes arbitraires.
La vulnérabilité exploite une faille dans les protections Kerberos, ciblant spécifiquement la gestion par Windows de l’authentification en boucle locale et de la résolution SPN. Elle contourne les mitigations traditionnelles des attaques de relais NTLM et utilise une faille de réutilisation de jeton pour obtenir une élévation de privilèges.
Le risque est considérable, tout utilisateur du domaine étant capable d’obtenir des privilèges SYSTEM sur des hôtes Windows non corrigés. Cette vulnérabilité affecte toutes les versions prises en charge de Windows 10, 11 et Server jusqu’à la version 2025 24H2, à l’exception des contrôleurs de domaine où la signature SMB est appliquée par défaut.
Pour atténuer cette menace, les organisations doivent immédiatement appliquer les mises à jour de sécurité de juin 2025 de Microsoft, imposer la signature SMB sur tous les hôtes Windows, surveiller les activités SMB inhabituelles et examiner les entrées DNS d’Active Directory suspectes. L’attaque Reflective Kerberos Relay souligne la nécessité de mesures de sécurité robustes et d’une action rapide pour se protéger contre les menaces évolutives.
