Comment anticiper les effets du Patch Tuesday d'avril 2025 sur le PAC de Kerberos

Rate this post

Présentation

Sommaire masquer

1 Présentation

2 À propos du correctif PAC

3 Comprendre le PAC de Kerberos

4 Illustration du processus

5 Phase de déploiement du renforcement PAC

6 PAC : votre infrastructure est-elle prête ?

7 Présentation de mon lab

8 Procédure pour tester la signature PAC

9 Conclusion

10 Actualités similaires :

Dans cet article, nous allons voir comment analyser et anticiper les effets du Patch Tuesday d’avril 2025 au niveau du PAC de Kerberos, afin de prévenir toute interruption ou anomalie en production. Ce patch corrige les vulnérabilités CVE-2024-26248 et CVE-2024-29056. Ces failles de sécurité nécessitent une gestion minutieuse pour garantir la stabilité et la sécurité de votre environnement Active Directory.

À propos du correctif PAC

Le correctif cumulatif de sécurité a pour but de renforcer le mécanisme d’authentification Kerberos en rendant obligatoire la validation du PAC (Privilege Attribute Certificate). Auparavant facultative et relevant principalement des bonnes pratiques de sécurité (hardening), cette validation devient désormais obligatoire. Elle a été imposée par Microsoft via le patch cumulatif d’avril 2025.

Comprendre le PAC de Kerberos

Le PAC correspond à des informations supplémentaires intégrées au ticket Kerberos. Son rôle est d’informer le service destinataire (par exemple, un serveur de fichiers) d’effectuer une validation complémentaire auprès du contrôleur de domaine (DC), afin d’éviter toute falsification potentielle du ticket.

Lors de l’authentification, le serveur KDC (Kerberos Distribution Center) d’Active Directory distribue un ticket contenant des informations sur les groupes auxquels appartient l’utilisateur. Par exemple, si l’utilisateur est membre du groupe “RH”, le serveur de fichiers lui accordera l’accès basé sur cette information. Cependant, cela ouvre la possibilité à une vulnérabilité de type “Silver Ticket”, où un attaquant pourrait falsifier le ticket pour obtenir un accès non autorisé aux ressources.

Illustration du processus

Dans ce processus de validation du PAC, certains systèmes anciens (tels que des serveurs de fichiers, anciens systèmes d’exploitation, applications, Citrix, etc.) pourraient ne pas être compatibles avec ce nouveau mode de validation. Ces systèmes risquent de rejeter le ticket Kerberos lors de l’authentification, ce qui peut entraîner des interruptions de service. C’est pourquoi notre plan de déploiement prévoit d’identifier ces cas spécifiques à l’avance pour éviter toute perturbation.

Malheureusement, nous nous retrouvons déjà dans la situation de mise en application : le Patch Tuesday d’avril 2025 ayant été publié par Microsoft le mardi 8 avril 2025. Ainsi, ce correctif, comme précisé précédemment, force la signature PAC et il empêche son contournement.

Phase de déploiement du renforcement PAC

Les mises à jour de sécurité Windows publiées au cours de cette phase supprimeront la prise en charge des sous-clés de registre (telles que PacSignatureValidationLevel et CrossDomainFilteringLevel) et appliqueront pleinement le comportement sécurisé de validation PAC. Aucun retour au mode de compatibilité n’est disponible, il est donc essentiel que votre environnement soit entièrement mis à jour et conforme avant l’arrivée de cette phase.

PAC : votre infrastructure est-elle prête ?

Si vous avez des doutes concernant la mise en place du patch, la seule possibilité qui nous reste sous le coude est de tester le mode appliqué sur un contrôleur de domaine (DC) moins sollicité. Cela permet de surveiller le trafic et d’analyser les tickets Kerberos pour vérifier si le mécanisme PAC fonctionne correctement.

Présentation de mon lab

Dans mon laboratoire, j’ai intégré un serveur Linux dans le domaine pour simuler des serveurs de fichiers de type ONTAP ancienne génération. Le client accède à la ressource via une GPO qui mappe le partage, exposé sur un serveur Windows. L’accès aux fichiers se fait en plusieurs fragments, forçant ainsi les requêtes PAC (Pre-Authentication Data) de Linux vers l’Active Directory.

Procédure pour tester la signature PAC

Voici maintenant quelques étapes à appliquer pour tester la signature PAC :

Modifier la clé de registre : passez la valeur de PacSignatureValidationLevel en mode appliqué (valeur 3).

Capturer le trafic avec Wireshark : ouvrez Wireshark et choisissez l’interface réseau du DC ou du serveur Linux pour écouter le trafic. Entrez l’adresse IP du serveur censé vérifier la signature PAC (dans notre cas, la machine Linux avec Kerberos), puis commencez la capture.

Purgez le ticket Kerberos avant de vous connecter au partage, connectez-vous ensuite au partage DFS à partir d’un poste client.

Une fois que vous vous êtes connecté au partage et que vous avez observé les connexions Kerberos AS-REQ et AS-REP dans Wireshark, arrêtez la capture de trafic et analysez les paquets Kerberos dans Wireshark.

Conclusion

Tout comme le renforcement de SAM-R et le retrait de RC4 dans le passé, la roadmap de Microsoft continue de viser à renforcer la sécurité en supprimant les anciens protocoles obsolètes. Les entreprises sont tenues de prendre en compte ces évolutions et de s’adapter dès maintenant, plutôt que d’attendre la dernière minute.

Source : www.it-connect.fr

Julien Castex
Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.
Voir toutes les publications