CVE-2026-56155 : zero-day AD FS EoP exploité in-the-wild par des acteurs avancés, découvert par Microsoft DART. Ajouté au CISA KEV le 14 juillet 2026, deadline fédérale au 28 juillet. Patch KB5121391 urgent.
En bref
- CVE-2026-56155 : élévation de privilèges zero-day dans Active Directory Federation Services (AD FS), exploité in-the-wild, CVSS 7.8 — ajouté au catalogue CISA KEV le 14 juillet 2026
- Systèmes affectés : Windows Server 2016, 2019, 2022, 2025 avec le rôle AD FS déployé
- Action urgente : appliquer KB5121391 (patch du 14 juillet 2026) avant le 28 juillet 2026 — deadline fédérale CISA fixée
Les faits
CVE-2026-56155 est une vulnérabilité d'élévation de privilèges (Elevation of Privilege, EoP) affectant Active Directory Federation Services (AD FS), le service Microsoft permettant l'authentification unique (SSO) fédérée entre systèmes et organisations. Divulguée le 14 juillet 2026 dans le cadre du Patch Tuesday record de juillet 2026, cette vulnérabilité se distingue par une caractéristique particulièrement alarmante : elle a été découverte et signalée par la Microsoft Detection and Response Team (DART), l'équipe de réponse aux incidents de Microsoft. Cela signifie concrètement que les enquêteurs de DART ont rencontré cette faille lors d'une investigation sur une intrusion active, faisant de CVE-2026-56155 un véritable zero-day exploité en conditions réelles avant même la publication du correctif.
La vulnérabilité reçoit un score CVSS 3.1 de 7.8, avec un vecteur local (AV:L), une faible complexité (AC:L), nécessitant de faibles privilèges (PR:L) et sans interaction utilisateur (UI:N). La root cause est classée sous CWE-1220 (Insufficient Granularity of Access Control) : AD FS ne met pas en place des limites de permission suffisamment fines entre les différents rôles et entités au niveau du conteneur Distributed Key Manager (DKM). Ce conteneur Active Directory est le coffre-fort cryptographique d'AD FS — il stocke les clés de signature utilisées pour émettre et valider les tokens d'authentification SAML et OAuth.
Le vecteur d'exploitation concret repose sur l'accès à la liste de contrôle d'accès (ACL) du conteneur DKM dans Active Directory. Un attaquant disposant de faibles privilèges locaux sur un serveur AD FS peut exploiter les permissions insuffisantes de ce conteneur pour lire ou modifier les clés cryptographiques stockées. Avec ces clés, l'attaquant est en mesure de forger des tokens d'authentification valides et d'usurper l'identité de n'importe quel utilisateur — y compris les administrateurs — auprès de tous les services et applications connectés à l'infrastructure AD FS, sans aucune interaction supplémentaire.
L'impact réel d'une exploitation réussie de CVE-2026-56155 va bien au-delà de ce que suggère son score CVSS de 7.8. Un attaquant qui obtient des privilèges administrateur sur un serveur AD FS peut forger des tokens SAML lui accordant l'accès à l'ensemble des applications fédérées : Microsoft 365, Azure Active Directory, Salesforce, ServiceNow, et tout autre service configuré en tant que Relying Party dans l'infrastructure AD FS de l'organisation. Cela équivaut à une compromission complète de l'identité numérique de l'entreprise. Les auditeurs en cybersécurité parlent parfois de « golden SAML attack » pour désigner ce type de compromission, rendu tristement célèbre par les attaquants de l'opération SolarWinds en 2020.
Microsoft a découvert et attribué cette vulnérabilité à sa propre équipe DART, ce qui est exceptionnel. DART n'est mobilisée que lors d'incidents de sécurité significatifs chez des clients Microsoft. Le fait que DART ait identifié CVE-2026-56155 dans le cadre d'une investigation suggère que des acteurs malveillants sophistiqués — probablement des groupes APT (Advanced Persistent Threats) ayant déjà un accès initial au réseau cible — exploitaient activement cette faiblesse d'AD FS comme technique de persistance et de mouvement latéral. La nature exacte des incidents investigués par DART n'a pas été divulguée publiquement.
Le correctif apporté par Microsoft à travers KB5121391 (mise à jour du 14 juillet 2026) initie la « première phase de durcissement » de l'ACL sur le conteneur DKM. Microsoft a choisi une approche de déploiement en plusieurs phases pour ce correctif, probablement en raison de l'impact potentiel sur les infrastructures AD FS complexes où des permissions personnalisées pourraient exister sur le conteneur DKM. Les administrateurs doivent vérifier qu'aucune permission non standard n'a été configurée sur ce conteneur et suivre les instructions de Microsoft Knowledge Base KB5121391 pour la procédure complète de durcissement.
La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté CVE-2026-56155 à son catalogue des Known Exploited Vulnerabilities (KEV) le 14 juillet 2026, le jour même de la publication du correctif, et a fixé la date limite de remédiation pour les agences fédérales américaines (FCEB) au 28 juillet 2026 — soit seulement deux semaines. Cette inclusion immédiate dans le KEV, concomitante à la publication du patch, illustre l'urgence exceptionnelle de la situation. Les agences fédérales sont contraintes par la Binding Operational Directive BOD 26-04 d'appliquer ces correctifs dans ce délai impératif.
CVE-2026-56155 est l'une des trois vulnérabilités zero-day exploitées in-the-wild corrigées lors du Patch Tuesday de juillet 2026, aux côtés de CVE-2026-45659 (SharePoint RCE CVSS 8.8) et CVE-2026-56164 (SharePoint EoP réseau, découverte par Mandiant/Google FLARE lors d'incidents actifs). La coïncidence de plusieurs zero-days AD FS et SharePoint exploités simultanément indique une campagne coordonnée ciblant l'infrastructure d'identité et de collaboration Microsoft — probablement orchestrée par des acteurs étatiques ou des groupes de ransomware sophistiqués.
Impact et exposition
AD FS est déployé dans la grande majorité des organisations de taille intermédiaire à grande (mid-market et enterprise) utilisant l'écosystème Microsoft pour leur infrastructure d'identité. Les secteurs les plus exposés sont la finance, la santé, les administrations publiques et les opérateurs d'importance vitale (OIV), qui fédèrent souvent de nombreuses applications critiques via AD FS. Une compromission d'AD FS dans ces secteurs peut avoir des conséquences sur des données sensibles, des systèmes de paiement ou des infrastructures critiques.
La condition d'exploitation requiert un accès local avec de faibles privilèges sur le serveur AD FS — cette barre d'entrée, bien que non nulle, est typiquement franchissable par un attaquant ayant obtenu un accès initial via phishing, exploitation d'une autre vulnérabilité, ou compromission d'un compte de service. Dans les scénarios d'attaque avancés, CVE-2026-56155 s'intègrerait dans une chaîne d'exploitation : accès initial (phishing) → accès bas privilèges sur un serveur Windows → exploitation CVE-2026-56155 → forge de tokens SAML → accès à l'ensemble des applications fédérées.
Les organisations utilisant exclusivement Microsoft Entra ID (Azure AD) pour leur authentification fédérée et n'ayant pas déployé AD FS on-premises ne sont pas directement affectées. En revanche, les organisations en mode hybride (AD FS on-premises + Entra ID) doivent traiter cette CVE en priorité absolue, car la compromission du périmètre AD FS peut impacter l'ensemble du tenant Azure.
Recommandations immédiates
- Appliquer KB5121391 sur tous les serveurs Windows exécutant le rôle AD FS avant le 28 juillet 2026 — advisory Microsoft Support CVE-2026-56155 AD FS DKM Container ACL Hardening
- Vérifier et auditer les ACL du conteneur Distributed Key Manager dans Active Directory :
Get-ADObject -Filter {ObjectClass -eq "container" -and Name -eq "ADFS"} -SearchBase "CN=Microsoft,CN=Program Data,DC=domain,DC=com" | Get-ACL - Activer la journalisation avancée AD FS (Event IDs 111, 1000-1010) et surveiller toute création de token anormale ou accès au conteneur DKM en dehors des processus AD FS légitimes
- Inspecter les logs DART et les indicateurs de compromission : rechercher des tokens SAML avec des attributs inhabituels (émetteurs inconnus, durées de vie anormalement longues, claims inattendus)
- Si une compromission est suspectée : renouveler immédiatement les certificats de signature AD FS et auditer tous les Relying Party trusts configurés
- Envisager la migration vers Microsoft Entra ID (authentification cloud) pour réduire la surface d'attaque on-premises à long terme
⚠️ Urgence
Zero-day exploité in-the-wild découvert par Microsoft DART lors d'incidents actifs. Ajouté au CISA KEV le 14 juillet 2026 avec deadline fédérale au 28 juillet 2026. L'exploitation réussie permet la forge de tokens SAML et l'usurpation de n'importe quel utilisateur sur l'ensemble des services fédérés — équivalent d'une compromission totale de l'infrastructure d'identité de l'organisation. Appliquer KB5121391 en urgence absolue.
Comment savoir si je suis vulnérable ?
Vérifiez si le rôle AD FS est déployé dans votre organisation : Get-WindowsFeature -Name ADFS-Federation | Where-Object InstallState -eq Installed sur vos serveurs Windows. Si AD FS est présent et que KB5121391 ou les mises à jour de sécurité de juillet 2026 n'ont pas été appliquées, le système est vulnérable. Pour vérifier le statut des correctifs : Get-HotFix -Id KB5121391. Si aucun résultat, le patch n'est pas installé. Vérifiez également les permissions ACL du conteneur DKM dans Active Directory Users and Computers (vue avancée activée) sous CN=Microsoft,CN=Program Data.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-50522 & 58644 : Double RCE SharePoint CVSS 9.8 non-auth
CVE-2026-50522 et CVE-2026-58644 : deux RCE non authentifiées CVSS 9.8 dans SharePoint Server par désérialisation. CVE-2026-58644 exploitée in-the-wild, CVE-2026-50522 démontrée à Pwn2Own Berlin. Patch urgent juillet 2026.
CVE-2026-50518 : RCE DHCP Windows CVSS 9.8 non authentifié
CVE-2026-50518 : heap buffer overflow CVSS 9.8 dans Windows DHCP Server permettant une RCE non authentifiée sur Windows Server 2012-2025. Patch Tuesday juillet 2026 — exploitation probable imminente.
CVE-2026-57094 : RCE Windows Media Foundation fichier vidéo CVSS 8.8
CVE-2026-57094 est un heap buffer overflow dans Windows Media Foundation permettant l'exécution de code à distance via un fichier vidéo ou audio malveillant. CVSS 8.8, affecte Windows 10/11 et Windows Server. Patch disponible depuis le 14 juillet 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire