En bref

  • Microsoft confirme que la mise à jour cumulative KB5082063 d''avril 2026 provoque des boucles de redémarrage sur certains contrôleurs Active Directory.
  • Le bug touche les serveurs configurés avec Privileged Access Management (PAM), de Windows Server 2016 à Windows Server 2025, et déclenche un crash répété du processus LSASS au démarrage.
  • Aucun correctif officiel n''est encore publié ; Microsoft renvoie les administrateurs concernés vers son support entreprise pour appliquer une mitigation manuelle.

Ce qui s''est passé

Microsoft a confirmé le 18 avril que la mise à jour cumulative KB5082063, distribuée lors du Patch Tuesday d''avril 2026, déclenche des boucles de redémarrage sur certains contrôleurs de domaine Active Directory. Les administrateurs touchés constatent un crash systématique du service LSASS au démarrage, suivi d''un reboot automatique de la machine, ce qui rend le contrôleur incapable d''authentifier les utilisateurs ou de répondre aux requêtes Kerberos. Selon l''annonce officielle, le défaut frappe uniquement les domaines qui exploitent la fonctionnalité Privileged Access Management (PAM), un cadre destiné aux organisations qui isolent leurs comptes à privilèges dans une forêt dédiée. Toutes les versions serveurs supportées sont concernées, de Windows Server 2016 à Windows Server 2025, ce qui inclut les éditions 2019, 2022 et 23H2. Microsoft précise que les contrôleurs hébergeant le rôle Global Catalog ne sont pas affectés ; le bug se déclenche uniquement sur les non-GC.

Pourquoi c''est important

Un contrôleur de domaine en boucle de reboot représente un incident majeur : sans authentification fonctionnelle, les sessions utilisateurs expirent, les partages de fichiers ne s''ouvrent plus et les applications métier dépendantes de Kerberos s''arrêtent. Les organisations qui ont déployé PAM le font précisément parce qu''elles gèrent des actifs sensibles ; voir leurs annuaires partir en vrille au lendemain d''un patch de sécurité est un coup dur. KB5082063 cumule désormais trois incidents reconnus en moins d''une semaine : ce reboot loop, mais aussi des invites BitLocker inopinées sur Windows Server 2025 et des dégradations sur certains scénarios d''authentification. La leçon classique se rappelle : tester le Patch Tuesday sur un sous-ensemble de DC avant un déploiement massif, surtout si l''environnement utilise des configurations non standards comme PAM.

Ce qu''il faut retenir

  • KB5082063 met en boucle de reboot les contrôleurs de domaine non Global Catalog si Privileged Access Management est activé.
  • Toutes les éditions serveur supportées (2016 → 2025) sont concernées, et aucun correctif officiel n''est encore publié.
  • Mitigation : contacter Microsoft Support for Business pour la procédure ; en attendant, retarder le déploiement sur les contrôleurs non-GC dans les environnements PAM.

Mon environnement n''utilise pas PAM, suis-je exposé ?

Non, ce reboot loop spécifique ne se déclenche que si Privileged Access Management est configuré sur le domaine. Les organisations qui n''utilisent pas PAM peuvent appliquer KB5082063 sans risque pour ce bug, mais doivent rester vigilantes sur les deux autres incidents reconnus (clé de récupération BitLocker demandée à tort sur Windows Server 2025, dégradations Kerberos).

Besoin d''un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact