CVE-2026-56155, zero-day activement exploité dans Active Directory Federation Services (AD FS), permet une élévation de privilèges vers le niveau administrateur. Découvert par le DART de Microsoft lors d'investigations d'incidents réels, il est corrigé dans le Patch Tuesday du 14 juillet 2026.
En bref
- CVE-2026-56155 : zero-day dans Active Directory Federation Services (AD FS), élévation de privilèges vers administrateur, exploité activement avant le patch
- CVSS 3.1 de 7.8 — nécessite un accès local avec faibles privilèges, mais sur AD FS ce seuil est franchi dès la post-compromission initiale
- Action requise : appliquer le Patch Tuesday du 14 juillet 2026 et activer la clé de registre RemediateDkmAcl pour corriger immédiatement les ACL DKM
Les faits
Le Patch Tuesday du 14 juillet 2026, le plus volumineux jamais publié par Microsoft avec 570 CVE corrigées selon BleepingComputer (622 selon d'autres décomptes incluant les produits tiers), incluait la correction de CVE-2026-56155 : un zero-day dans Active Directory Federation Services (AD FS) activement exploité dans la nature avant sa divulgation publique. La faille porte un score CVSS 3.1 de 7.8 avec une sévérité temporelle de 7.2, et est classifiée sous CWE-1220 (Insufficient Granularity of Access Control).
CVE-2026-56155 trouve son origine dans la gestion des ACL (listes de contrôle d'accès) du conteneur DKM (Distributed Key Manager), le mécanisme qu'utilise AD FS pour stocker et protéger ses clés cryptographiques de signature de tokens. Une granularité insuffisante dans les contrôles d'accès à ce conteneur permet à un attaquant disposant d'un compte à faibles privilèges sur le serveur AD FS d'effectuer une élévation locale vers le niveau administrateur. Sur un serveur AD FS, la barre d'accès à faibles privilèges est souvent facilement franchissable : les comptes de service, les comptes techniques de supervision, voire certains comptes d'administration déléguée qui y ont légitimement accès constituent autant de points d'entrée.
La particularité notable de CVE-2026-56155 est son mode de découverte. La faille a été créditée à Jeremy Kingston et Scott Clark du Microsoft Detection and Response Team (DART) — l'équipe interne de réponse aux incidents de Microsoft qui intervient auprès de clients lors d'incidents graves. Cette attribution indique avec une forte probabilité que la vulnérabilité a été découverte lors de l'investigation d'attaques réelles ciblant des clients, et non via un programme de bug bounty ou une recherche proactive en laboratoire. CVE-2026-56155 était donc probablement exploitée dans des campagnes actives plusieurs semaines ou mois avant le 14 juillet 2026.
L'impact d'une compromission AD FS via CVE-2026-56155 dépasse largement le seul serveur AD FS. Active Directory Federation Services est l'infrastructure d'identité fédérée qui fait office de pont entre l'Active Directory on-premises d'une organisation et ses services cloud — Microsoft 365, Entra ID (anciennement Azure AD), ainsi que des dizaines d'applications SaaS fédérées via SAML 2.0 ou WS-Federation. Un attaquant qui prend le contrôle du serveur AD FS peut potentiellement forger des tokens SAML valides lui donnant accès à l'ensemble de l'écosystème fédéré de l'organisation sans aucune authentification supplémentaire. C'est précisément le vecteur qu'avait exploité le groupe Midnight Blizzard (APT29) lors de la compromission de Microsoft en 2023 : accès à l'infrastructure d'identité, puis fabrication de credentials valides pour des ressources cloud.
La correction apportée par Microsoft dans le Patch Tuesday du 14 juillet 2026 introduit un mécanisme en deux temps. Dans un premier temps, le patch active un mode audit qui détecte les configurations d'ACL DKM problématiques et enregistre un Event ID 1132 dans le journal des événements AD FS Admin lorsqu'une attention est requise — sans modifier automatiquement les permissions existantes. Dans un second temps, les administrateurs peuvent activer immédiatement la remédiation complète en définissant la clé de registre HKLM\SYSTEM\CurrentControlSet\Servicesdfssrv\Parameters\RemediateDkmAcl à la valeur 1. Microsoft a par ailleurs annoncé qu'à compter du 13 octobre 2026, les environnements non encore remédiés seront automatiquement mis en conformité.
CVE-2026-56155 n'est pas isolé dans le Patch Tuesday de juillet 2026. Un second zero-day activement exploité, CVE-2026-56164, affecte Microsoft SharePoint Server et permet une élévation de privilèges via une fonction d'authentification manquante. Ce n'est pas la première fois que SharePoint fait l'objet d'une exploitation active en 2026 : CVE-2026-45659 avait déjà été ajouté au catalogue KEV de la CISA en juin 2026, tel que documenté dans un article distinct sur ce site. Un troisième zero-day et plusieurs vulnérabilités critiques dans BitLocker et les services Windows complètent un tableau particulièrement chargé pour ce mois de juillet.
Les équipes Talos Intelligence de Cisco ont publié le 15 juillet 2026 une analyse technique de CVE-2026-56155 incluant des règles de détection Snort et des requêtes KQL pour Microsoft Sentinel, permettant aux équipes SOC de détecter les tentatives d'exploitation via la surveillance des Event ID AD FS 1007, 1008, 1021, 1022 et désormais 1132. La surveillance des requêtes LDAP vers le conteneur DKM dans Active Directory constitue également un indicateur précoce d'activité suspecte sur l'infrastructure d'identité.
L'ensemble des éditeurs de solutions de détection — CrowdStrike Falcon, Microsoft Defender for Identity, SentinelOne, Vectra AI — ont mis à jour leurs signatures et modèles de détection comportementale pour couvrir l'exploitation de CVE-2026-56155. La détection comportementale est particulièrement importante ici car la faille peut être exploitée via des appels API légitimes, rendant la détection purement basée sur les signatures moins fiable. Les organisations qui ne disposent pas de Defender for Identity ou d'un équivalent doivent s'appuyer sur l'audit des Event ID AD FS pour détecter une exploitation potentielle.
Alerte critique
CVE-2026-56155 est un zero-day activement exploité découvert lors d'incidents réels par le DART de Microsoft. Un attaquant post-compromission peut l'utiliser pour obtenir les clés de signature AD FS et forger des tokens SAML valides pour l'ensemble de l'infrastructure fédérée. Appliquer le Patch Tuesday du 14 juillet 2026 immédiatement, puis activer RemediateDkmAcl sans attendre l'enforcement automatique d'octobre 2026.
Impact et exposition
Toute organisation déployant Active Directory Federation Services on-premises avec la configuration DKM par défaut est potentiellement exposée si le patch du 14 juillet 2026 n'a pas été appliqué. Cette configuration concerne les organisations qui n'ont pas encore migré vers Entra ID de façon complète et maintiennent un AD FS on-premises pour fédérer leur identité vers le cloud — situation extrêmement répandue dans les grandes entreprises, les administrations publiques et les établissements de santé. L'exploitation nécessite un accès local préalable au serveur AD FS, mais dans le contexte d'une attaque en plusieurs étapes (phishing, accès initial, lateral movement), cette condition est réaliste. Les incidents réels ayant mené à la découverte de la faille par le DART de Microsoft le confirment.
Recommandations
- Appliquer immédiatement le Patch Tuesday du 14 juillet 2026 sur tous les serveurs AD FS — traiter comme critique, non comme une mise à jour de routine
- Après installation du patch, activer la remédiation immédiate des ACL DKM en définissant RemediateDkmAcl = 1 dans la clé de registre documentée par Microsoft
- Vérifier le journal AD FS Admin pour les Event ID 1132 — leur présence confirme que la configuration DKM était vulnérable et a été remontée
- Auditer les comptes ayant un accès local aux serveurs AD FS : réduire au strict minimum, imposer le MFA même pour les accès administratifs internes
- Déployer une surveillance active des requêtes LDAP vers le conteneur DKM et des modifications des ACL AD FS dans votre SIEM
- Planifier la migration vers Entra ID si ce n'est pas déjà en cours — l'AD FS on-premises représente une surface d'attaque croissante face à une infrastructure cloud managée
Si j'ai activé le mode audit après le patch, est-ce que mon AD FS est déjà sécurisé ?
Non. Le mode audit détecte et journalise les configurations DKM vulnérables (Event ID 1132) mais ne les corrige pas. Il vous alerte sur le problème sans le résoudre. Pour remédier effectivement, vous devez définir la clé de registre RemediateDkmAcl = 1 — ce qui déclenche la correction des ACL DKM au prochain redémarrage du service AD FS. Microsoft imposera cette remédiation automatiquement en octobre 2026 pour les environnements non encore traités, mais n'attendez pas : l'exploitation active est documentée et en cours.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
BlackField frappe Nidec : 2 To de données volées, 2 millions de dollars de rançon
Le groupe ransomware BlackField a frappé la filiale taïwanaise de Nidec Corporation, Nidec Chaun Choung Technology, dérobant plus de 2 To de données. La rançon exigée s'élève à 2 millions de dollars à ce géant japonais des moteurs électriques de 17 milliards de revenus annuels.
CVE-2026-48282 : RCE non authentifié Adobe ColdFusion CVSS 10.0 exploité
Adobe corrige en urgence CVE-2026-48282, une faille CVSS 10.0 dans ColdFusion permettant une RCE sans authentification via le composant RDS. Exploitation active détectée moins de deux heures après la divulgation publique.
D1R : nouveau groupe ransomware vise Synopsys et Bosch
Le 13 juillet 2026, le groupe ransomware émergent D1R a revendiqué des attaques contre Synopsys, Bosch et ARM sur son site darknet. Synopsys nie toute compromission, tandis que les preuves présentées apparaissent insuffisantes pour les experts.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire