Dernière mise à jour de cet article : février 2026.
La délégation Kerberos a été initialement conçue comme une amélioration de la sécurité, permettant aux applications de s'authentifier de manière sécurisée au nom des utilisateurs lors de l'accès aux ressources. L'usurpation d'identité fait partie de protocoles d'authentification Ce n'est pas fondamentalement mauvais ; c'est en réalité une solution élégante à un problème de longue date : comment permettre aux applications d'accéder aux ressources uniquement lorsqu'elles en ont réellement besoin, tout en limitant la portée des données auxquelles elles peuvent accéder. Par exemple, un service frontal agissant pour le compte d'un utilisateur afin d'appeler une API dorsale illustre une utilisation légitime et bien maîtrisée de ce mécanisme.
Avec l'évolution des environnements d'entreprise, cette approche est devenue une norme pour la manière dont les applications interagissent avec les ressources. Kerberos La délégation a introduit une méthode structurée et sécurisée permettant aux services d'étendre l'accès des utilisateurs uniquement lorsque cela est nécessaire, préservant ainsi l'intégrité de l'authentification au sein de systèmes complexes. Cependant, en déplaçant le lieu où réside la confiance, elle a également élargi le champ d'application, offrant ainsi aux chercheurs de nouvelles pistes pour explorer les failles potentielles et aux adversaires de nouvelles possibilités d'interférer, de manipuler ou d'abuser de la confiance.
L'utilisation abusive de la délégation Kerberos peut donc s'avérer dangereuse si elle tombe entre de mauvaises mains… Par exemple, qu'adviendrait-il si un attaquant parvenait à s'insérer dans le processus de délégation et à usurper l'identité de l'utilisateur pour accéder à des ressources sensibles ? Pire encore, que se passerait-il si l'attaquant trouvait le moyen d'usurper l'identité d'un autre utilisateur, potentiellement plus privilégié ?
Eliran Partush, chercheur en sécurité chez Silverfort, a examiné précisément ce concept dans ses dernières recherches et a fourni une analyse technique complète dans son livre blanc, «CVE-2025-60704 : Failles de validation dans Windows Kerberos S4U : De la transition de protocole à l’élévation de privilèges.
Dans le livre blanc, Eliran décrit CVE-2025-60704 est une vulnérabilité d'élévation de privilèges Kerberos sous Windows, résultant de plusieurs failles de validation dans les flux S4U2Self et S4U2Proxy. Ces faiblesses concernent la manière dont l'identité S4U est liée cryptographiquement à une requête et la façon dont le client valide l'intégrité des réponses du KDC dans les modes d'accès hérités.
Passez directement au document technique ci-dessous, ou poursuivez votre lecture pour un aperçu général de la recherche présentée lors de la conférence Black Hat EU à Londres en décembre 2025.
Livre blanc technique
CVE-2025-60704 : Failles de validation dans Windows Kerberos S4U : De la transition de protocole à l’élévation de privilèges
Lisez-le maintenant
Découverte de CVE
Dans le cadre d'une divulgation responsable, notre équipe de recherche a signalé la vulnérabilité de délégation contrainte Kerberos à Microsoft, et le 11 novembre 2025, ils ont publié une mise à jour dans le cadre du Patch Tuesday, où elle a reçu un score CVSS de 7.5. Utilisant une technique d'attaque de l'homme du milieu, cette faille nous a permis d'usurper l'identité d'utilisateurs arbitraires et, finalement, de prendre le contrôle de l'ensemble du domaine.
Pourquoi la vulnérabilité CVE-2025-60704 est importante
Kerberos est un protocole multicouche et peut s'avérer complexe à appréhender au premier abord ; il implique de multiples échanges de messages, des tickets chiffrés et des clés de session. La délégation ajoute une couche supplémentaire à cette complexité, avec plusieurs modèles disponibles : non contrainte, contrainte et basée sur les ressources (RBCD). Cela permet d'étendre les limites de confiance entre les services. Une dernière couche contribuant à la complexité est la suivante : délégation Kerberos Kerberos peut également interagir avec d'autres types d'authentification. Sa fonction principale est de permettre à une application d'authentifier un utilisateur.
La délégation restera toujours un élément important à prendre en compte en cybersécurité pour une raison principale : La possibilité d'usurper l'identité d'un utilisateur représente une cible de choix pour les attaquants. Que votre organisation soit native du cloud ou qu'elle possède des applications critiques exclusivement construites sur des architectures traditionnelles, le principe reste le même : une application agissant au nom de l'identité d'un utilisateur peut s'avérer très puissante si elle est détournée.
Au début de nos recherches, notre équipe a cherché des moyens de contourner les mécanismes de sécurité du protocole de délégation Kerberos. C'est alors qu'une découverte intéressante a émergé : dans la délégation Kerberos contrainte (KCD), le protocole intégrait des mécanismes permettant non seulement d'usurper l'identité d'un utilisateur auquel nous avions accès, mais aussi d'élever nos privilèges, et bien plus encore. Nous détaillerons ces points lors de notre présentation.
L'impact de l'exploitation de la vulnérabilité CVE-2025-60704
On associe souvent les menaces d'identité à l'accès à l'identité ciblée (qu'elle soit humaine ou non humaine, comme un compte de serviceet ensuite explorer les possibilités offertes par les permissions de cette identité. On pense rarement à obtenir un accès, puis à pouvoir se glisser complètement dans la peau d'une autre personne.
L'impact est clair : toute organisation utilisant Active DirectoryL'entreprise, dont la délégation Kerberos est activée, est concernée. Cela signifie que des milliers d'entreprises dans le monde entier sont affectées par cette vulnérabilité. La délégation Kerberos étant une fonctionnalité intégrée à Kerberos, elle est vulnérable. Active Directory, un attaquant a besoin d'un accès initial à un environnement avec identifiants compromisUne fois la vulnérabilité exploitée, les attaquants pourraient élever leurs privilèges et se déplacer latéralement vers d'autres machines de l'organisation. Pire encore, ils pourraient également usurper l'identité de n'importe quel employé de l'entreprise, obtenant ainsi un accès illimité, voire devenir administrateur de domaine.
L'exploitation de la vulnérabilité CVE-2025-60704 s'inscrirait dans leur stratégie à long terme, visant le vol de propriété intellectuelle ou de données personnelles, l'usurpation d'identité, ransomwareet plus encore.
Atténuation de la vulnérabilité CVE-2025-60704
Kerberos est considéré depuis des décennies comme la pierre angulaire de authentification d'entrepriseCependant, même les protocoles de sécurité les mieux conçus peuvent être discrètement compromis et exploités. Alors, que doivent faire les équipes de sécurité ?
Pour toute entreprise utilisant Active Directory, nous recommandons Ils corrigent cette vulnérabilité. dès que possible. Si l'application d'un correctif n'est pas envisageable pour le moment, configurez une alerte dans votre ITDR solution pour surveiller toutes les délégations Kerberos contraintes.
Intervention d'Eliran Partush à la conférence Black Hat EU à Londres
Si vous avez assisté à Black Hat à Londres, nous avons tout passé en revue :
- Où la recherche a commencé et comment notre équipe de recherche a découvert la CVE.
- Comment un mécanisme conçu pour sécuriser votre infrastructure étend votre surface d'attaque.
- Le comportement du protocole, les hypothèses de confiance et une légère rétro-ingénierie des composants internes de Windows nous ont permis de remonter à la source du problème.
- Stratégies d'atténuation et comment mieux protéger les environnements reposant sur la délégation Kerberos.
Une vidéo à la demande de la conférence sera bientôt disponible et nous ajouterons le lien dans cet article. En attendant, Consultez notre livre blanc pour lire les détails techniques.
Vous souhaitez rester en contact et suivre nos recherches ? Pour en savoir plus, contactez le chercheur sur LinkedIn.
À propos d'Eliran Partush, Silverfort Chercheur en sécurité
Eliran est chercheur en sécurité et spécialiste informatique sur le Silverfort Membre de l'équipe de recherche, il s'intéresse particulièrement aux protocoles de réseau et d'authentification, notamment Kerberos. Passionné par les défis tels que les CTF et l'étude approfondie des protocoles, il possède une solide expérience de plus de 10 ans en tant qu'ingénieur réseau et système chez Cisco. Il a toujours pris plaisir à démonter et remonter des systèmes.