CVE-2025-59501
Mis à jour :
Contournement d’authentification dans Microsoft Configuration Manager
Une faille de sécurité, identifiée sous le code CVE-2025-59501, affecte Microsoft Configuration Manager. Elle permet à un attaquant disposant de privilèges autorisés de se faire passer pour un autre utilisateur (spoofing) sur un réseau adjacent.
Points clés :
- Nature de la vulnérabilité : Contournement d’authentification par usurpation.
- Impact potentiel : Permet à un attaquant d’obtenir un contrôle administratif non autorisé sur Microsoft Configuration Manager et ses clients gérés.
- Produits affectés : Configuration Manager versions 2403, 2409 et 2503.
- Score CVSS 3.1 : 4.8 (Moyenne). Le vecteur d’attaque indique un accès adjacent, une configuration technique élevée, des privilèges bas, aucune interaction utilisateur, un impact sur la confidentialité et aucune action sur l’intégrité ou la disponibilité.
Vulnérabilité :
- CVE-2025-59501 : Authentication bypass by spoofing.
Mécanisme d’exploitation :
L’attaquant peut exploiter cette faille en modifiant le Nom Principal de l’Utilisateur (UPN) d’un compte Microsoft Entra ID valide, ou en créant un nouveau compte. L’objectif est d’usurper l’identité d’un utilisateur d’Active Directory possédant le même UPN, mais qui n’a pas été synchronisé avec Entra ID. Cela exploite le fait que le service d’administration de SCCM utilisait des jetons Entra sans vérifier l’existence de l’UPN dans Active Directory.
Recommandations (basées sur les informations disponibles) :
Bien que des détails spécifiques sur les correctifs ne soient pas explicitement détaillés dans l’extrait, la mention d’une mise à jour par Microsoft suggère l’application de correctifs pour les produits affectés. Les retours d’information des chercheurs indiquent que Microsoft a introduit une vérification de la correspondance du SID sur site pour remédier à cette vulnérabilité.