En bref

  • CVE-2026-56155 : zero-day dans Active Directory Federation Services (AD FS), élévation de privilèges vers administrateur, exploité activement avant le patch
  • CVSS 3.1 de 7.8 — nécessite un accès local avec faibles privilèges, mais sur AD FS ce seuil est franchi dès la post-compromission initiale
  • Action requise : appliquer le Patch Tuesday du 14 juillet 2026 et activer la clé de registre RemediateDkmAcl pour corriger immédiatement les ACL DKM

Les faits

Le Patch Tuesday du 14 juillet 2026, le plus volumineux jamais publié par Microsoft avec 570 CVE corrigées selon BleepingComputer (622 selon d'autres décomptes incluant les produits tiers), incluait la correction de CVE-2026-56155 : un zero-day dans Active Directory Federation Services (AD FS) activement exploité dans la nature avant sa divulgation publique. La faille porte un score CVSS 3.1 de 7.8 avec une sévérité temporelle de 7.2, et est classifiée sous CWE-1220 (Insufficient Granularity of Access Control).

CVE-2026-56155 trouve son origine dans la gestion des ACL (listes de contrôle d'accès) du conteneur DKM (Distributed Key Manager), le mécanisme qu'utilise AD FS pour stocker et protéger ses clés cryptographiques de signature de tokens. Une granularité insuffisante dans les contrôles d'accès à ce conteneur permet à un attaquant disposant d'un compte à faibles privilèges sur le serveur AD FS d'effectuer une élévation locale vers le niveau administrateur. Sur un serveur AD FS, la barre d'accès à faibles privilèges est souvent facilement franchissable : les comptes de service, les comptes techniques de supervision, voire certains comptes d'administration déléguée qui y ont légitimement accès constituent autant de points d'entrée.

La particularité notable de CVE-2026-56155 est son mode de découverte. La faille a été créditée à Jeremy Kingston et Scott Clark du Microsoft Detection and Response Team (DART) — l'équipe interne de réponse aux incidents de Microsoft qui intervient auprès de clients lors d'incidents graves. Cette attribution indique avec une forte probabilité que la vulnérabilité a été découverte lors de l'investigation d'attaques réelles ciblant des clients, et non via un programme de bug bounty ou une recherche proactive en laboratoire. CVE-2026-56155 était donc probablement exploitée dans des campagnes actives plusieurs semaines ou mois avant le 14 juillet 2026.

L'impact d'une compromission AD FS via CVE-2026-56155 dépasse largement le seul serveur AD FS. Active Directory Federation Services est l'infrastructure d'identité fédérée qui fait office de pont entre l'Active Directory on-premises d'une organisation et ses services cloud — Microsoft 365, Entra ID (anciennement Azure AD), ainsi que des dizaines d'applications SaaS fédérées via SAML 2.0 ou WS-Federation. Un attaquant qui prend le contrôle du serveur AD FS peut potentiellement forger des tokens SAML valides lui donnant accès à l'ensemble de l'écosystème fédéré de l'organisation sans aucune authentification supplémentaire. C'est précisément le vecteur qu'avait exploité le groupe Midnight Blizzard (APT29) lors de la compromission de Microsoft en 2023 : accès à l'infrastructure d'identité, puis fabrication de credentials valides pour des ressources cloud.

La correction apportée par Microsoft dans le Patch Tuesday du 14 juillet 2026 introduit un mécanisme en deux temps. Dans un premier temps, le patch active un mode audit qui détecte les configurations d'ACL DKM problématiques et enregistre un Event ID 1132 dans le journal des événements AD FS Admin lorsqu'une attention est requise — sans modifier automatiquement les permissions existantes. Dans un second temps, les administrateurs peuvent activer immédiatement la remédiation complète en définissant la clé de registre HKLM\SYSTEM\CurrentControlSet\Servicesdfssrv\Parameters\RemediateDkmAcl à la valeur 1. Microsoft a par ailleurs annoncé qu'à compter du 13 octobre 2026, les environnements non encore remédiés seront automatiquement mis en conformité.

CVE-2026-56155 n'est pas isolé dans le Patch Tuesday de juillet 2026. Un second zero-day activement exploité, CVE-2026-56164, affecte Microsoft SharePoint Server et permet une élévation de privilèges via une fonction d'authentification manquante. Ce n'est pas la première fois que SharePoint fait l'objet d'une exploitation active en 2026 : CVE-2026-45659 avait déjà été ajouté au catalogue KEV de la CISA en juin 2026, tel que documenté dans un article distinct sur ce site. Un troisième zero-day et plusieurs vulnérabilités critiques dans BitLocker et les services Windows complètent un tableau particulièrement chargé pour ce mois de juillet.

Les équipes Talos Intelligence de Cisco ont publié le 15 juillet 2026 une analyse technique de CVE-2026-56155 incluant des règles de détection Snort et des requêtes KQL pour Microsoft Sentinel, permettant aux équipes SOC de détecter les tentatives d'exploitation via la surveillance des Event ID AD FS 1007, 1008, 1021, 1022 et désormais 1132. La surveillance des requêtes LDAP vers le conteneur DKM dans Active Directory constitue également un indicateur précoce d'activité suspecte sur l'infrastructure d'identité.

L'ensemble des éditeurs de solutions de détection — CrowdStrike Falcon, Microsoft Defender for Identity, SentinelOne, Vectra AI — ont mis à jour leurs signatures et modèles de détection comportementale pour couvrir l'exploitation de CVE-2026-56155. La détection comportementale est particulièrement importante ici car la faille peut être exploitée via des appels API légitimes, rendant la détection purement basée sur les signatures moins fiable. Les organisations qui ne disposent pas de Defender for Identity ou d'un équivalent doivent s'appuyer sur l'audit des Event ID AD FS pour détecter une exploitation potentielle.

Alerte critique

CVE-2026-56155 est un zero-day activement exploité découvert lors d'incidents réels par le DART de Microsoft. Un attaquant post-compromission peut l'utiliser pour obtenir les clés de signature AD FS et forger des tokens SAML valides pour l'ensemble de l'infrastructure fédérée. Appliquer le Patch Tuesday du 14 juillet 2026 immédiatement, puis activer RemediateDkmAcl sans attendre l'enforcement automatique d'octobre 2026.

Impact et exposition

Toute organisation déployant Active Directory Federation Services on-premises avec la configuration DKM par défaut est potentiellement exposée si le patch du 14 juillet 2026 n'a pas été appliqué. Cette configuration concerne les organisations qui n'ont pas encore migré vers Entra ID de façon complète et maintiennent un AD FS on-premises pour fédérer leur identité vers le cloud — situation extrêmement répandue dans les grandes entreprises, les administrations publiques et les établissements de santé. L'exploitation nécessite un accès local préalable au serveur AD FS, mais dans le contexte d'une attaque en plusieurs étapes (phishing, accès initial, lateral movement), cette condition est réaliste. Les incidents réels ayant mené à la découverte de la faille par le DART de Microsoft le confirment.

Recommandations

  • Appliquer immédiatement le Patch Tuesday du 14 juillet 2026 sur tous les serveurs AD FS — traiter comme critique, non comme une mise à jour de routine
  • Après installation du patch, activer la remédiation immédiate des ACL DKM en définissant RemediateDkmAcl = 1 dans la clé de registre documentée par Microsoft
  • Vérifier le journal AD FS Admin pour les Event ID 1132 — leur présence confirme que la configuration DKM était vulnérable et a été remontée
  • Auditer les comptes ayant un accès local aux serveurs AD FS : réduire au strict minimum, imposer le MFA même pour les accès administratifs internes
  • Déployer une surveillance active des requêtes LDAP vers le conteneur DKM et des modifications des ACL AD FS dans votre SIEM
  • Planifier la migration vers Entra ID si ce n'est pas déjà en cours — l'AD FS on-premises représente une surface d'attaque croissante face à une infrastructure cloud managée

Si j'ai activé le mode audit après le patch, est-ce que mon AD FS est déjà sécurisé ?

Non. Le mode audit détecte et journalise les configurations DKM vulnérables (Event ID 1132) mais ne les corrige pas. Il vous alerte sur le problème sans le résoudre. Pour remédier effectivement, vous devez définir la clé de registre RemediateDkmAcl = 1 — ce qui déclenche la correction des ACL DKM au prochain redémarrage du service AD FS. Microsoft imposera cette remédiation automatiquement en octobre 2026 pour les environnements non encore traités, mais n'attendez pas : l'exploitation active est documentée et en cours.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit