En bref

  • CVE-2026-33826 (CVSS 8.0) : RCE dans le composant Active Directory de Windows Server via Remote Procedure Calls forgées.
  • Versions affectées : Windows Server 2022 et 2025 (KB5082142 et KB5082063 publiés le 14 avril 2026).
  • Action : déployer le Patch Tuesday d'avril 2026 sur les contrôleurs de domaine, segmenter et surveiller le trafic RPC interne.

Les faits

Microsoft a corrigé le 14 avril 2026, à l'occasion du Patch Tuesday mensuel, la vulnérabilité CVE-2026-33826 affectant le service Active Directory. Notée 8.0 sur l'échelle CVSS et classée critique par Microsoft, la faille est cataloguée Exploitation More Likely dans le Microsoft Exploitability Index, ce qui signifie que la firme anticipe l'apparition rapide d'exploits fonctionnels après divulgation du correctif. Selon les analyses publiées par Tenable, CrowdStrike et SANS Internet Storm Center, la vulnérabilité résulte d'une validation incorrecte des entrées (CWE-20) dans le composant qui traite les Remote Procedure Calls Active Directory. Un attaquant authentifié et capable d'envoyer des RPC forgées vers un contrôleur de domaine peut déclencher une exécution de code arbitraire dans le contexte du service AD, soit avec des privilèges élevés sur le DC. Microsoft précise que l'attaquant doit se trouver dans le même domaine Active Directory restreint que la cible, ce qui qualifie la faille en attaque adjacente plutôt que purement réseau, mais ne réduit pas son impact dans les contextes d'entreprise standard où des milliers de comptes basiques coexistent dans une même forêt.

Les correctifs sont distribués via les bulletins KB5082142 (Windows Server 2022) et KB5082063 (Windows Server 2025), inclus dans le Patch Tuesday d'avril qui adresse au total 163 à 168 CVE selon les comptages, dont une zero-day SharePoint déjà exploitée référencée CVE-2026-32201. CVE-2026-33826 fait partie des huit vulnérabilités classées critiques dans cette livraison.

Impact et exposition

Une RCE sur un contrôleur de domaine est l'une des compromissions les plus graves dans un environnement Microsoft. Un attaquant qui parvient à exécuter du code dans le contexte AD peut extraire la base NTDS.dit, dumper les hashes Kerberos de tous les comptes (y compris krbtgt), forger des Golden Tickets et établir une persistance quasi indétectable au niveau de l'authentification de toute la forêt. Le prérequis d'un compte authentifié dans le domaine est faible : tout poste utilisateur compromis (phishing, malware, credentials volés) sert de tremplin vers l'exploitation. Les organisations exploitant des forêts AD avec connectivité étendue, des trusts cross-domain mal segmentés ou un manque de tiering administratif sont particulièrement exposées. Cette faille s'inscrit dans une série récente de vulnérabilités graves dans les composants Windows centraux, à l'image de CVE-2026-33824 sur Windows IKE, de CVE-2026-33827 sur Windows TCP/IP IPv6, de la zero-day BlueHammer dans Windows Defender, ou de CVE-2025-60710 sur Windows Host Process.

Recommandations immédiates

  • Déployer KB5082142 (Server 2022) et KB5082063 (Server 2025) sur l'ensemble des contrôleurs de domaine, en priorité absolue dans la fenêtre de patching d'avril.
  • Tester le déploiement sur un DC pilote (RODC ou DC secondaire dans un site test) avant rollout généralisé pour vérifier l'absence de régression sur les flux RPC applicatifs.
  • Activer et superviser les audits de sécurité Windows événements 4624, 4634 et 5145 pour détecter les flux RPC anormaux vers les DC.
  • Renforcer la segmentation réseau autour des contrôleurs de domaine : ACL ne laissant passer que les flux RPC depuis les serveurs membres et postes administrateurs identifiés, blocage des sessions RPC dynamiques depuis les VLAN utilisateurs non admin.
  • Réduire la surface d'attaque AD : appliquer le modèle de tiering (Tier 0/1/2), retirer les comptes utilisateurs des groupes Domain Admins et Account Operators, activer Protected Users pour les comptes sensibles.
  • Surveiller les outils de détection comportementale pour repérer les énumérations RPC inhabituelles (utilisation d'outils type rpcclient ou impacket-rpcdump depuis des comptes standards).

Urgence

Microsoft classe l'exploitation comme plus probable : la fenêtre entre patch et exploit public est historiquement courte sur les vulnérabilités AD critiques. Une compromission de DC équivaut à la perte de souveraineté sur l'ensemble du SI. Patcher les contrôleurs de domaine sous 72 heures est un minimum opérationnel, et peut justifier une fenêtre de maintenance exceptionnelle hors planning.

Comment vérifier si mes contrôleurs de domaine sont patchés ?

Sur chaque DC, exécutez Get-HotFix -Id KB5082142 (Server 2022) ou Get-HotFix -Id KB5082063 (Server 2025) en PowerShell : si le KB n'apparaît pas, le serveur est vulnérable. Vous pouvez aussi consulter le numéro de build via winver ou Get-CimInstance Win32_OperatingSystem | Select-Object Version, BuildNumber et le comparer à la table de builds Microsoft Update Catalog correspondant à la livraison d'avril 2026.

Quelles mitigations en attendant le patch ?

Si un patching immédiat est impossible (fenêtre de maintenance, dépendances applicatives), durcissez la segmentation : limitez les flux RPC entrants sur les DC à un sous-réseau d'administration, désactivez les comptes utilisateurs inactifs et activez Credential Guard sur les postes admin. Appliquez ensuite le correctif dès la prochaine fenêtre disponible, aucune mitigation ne remplace un patch sur ce type de vulnérabilité critique sur les contrôleurs de domaine.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit