CVE-2025-58726

Exploitation de la vulnérabilité CVE-2025-58726 sur les serveurs Windows SMB

Une faille de sécurité critique, identifiée sous la référence CVE-2025-58726, affecte les serveurs Windows SMB (Server Message Block). Cette vulnérabilité de type élévation de privilèges permet à un attaquant, par le biais d’un accès réseau, d’obtenir des droits plus élevés sur un système compromis.

Points Clés :

• Nature de la vulnérabilité : Contrôle d’accès inadéquat au sein du service Windows SMB Server.
• Mécanisme d’exploitation : Combinaison de configurations erronées des Service Principal Names (SPNs) et d’attaques de réflexion Kerberos.
• Objectif de l’attaquant : Obtenir un accès de niveau SYSTEM sur les machines jointes à un domaine.
• Fonctionnement de l’attaque :
  • Capture des requêtes d’authentification des machines victimes.
  • Renvoi de ces requêtes vers le même service, trompant ainsi les machines jointes au domaine pour qu’elles s’authentifient auprès d’un point de terminaison contrôlé par l’attaquant.
  • Création d’une entrée DNS pour un “Ghost SPN” (SPN fantôme) pointant vers une adresse IP contrôlée par l’attaquant, redirigeant les tentatives d’authentification.
  • Aboutissement à l’obtention d’une exécution de code à distance avec des privilèges SYSTEM.

Vulnérabilité :

• CVE : CVE-2025-58726
• Type : Élévation de privilèges (Privilege Escalation)
• Composant affecté : Windows SMB Server

Recommandations :

• Mises à jour : Appliquer les correctifs de sécurité publiés par Microsoft en octobre 2025. Il est crucial de maintenir les systèmes d’exploitation Windows à jour pour se prémunir contre cette menace.

Source