🧨 Une faille critique dans Exchange + AD : c’est reparti pour un tour
Ce 7 août 2025, la CVE-2025-53786 est officiellement révélée. Elle affecte les infrastructures on-premises de Microsoft Exchange connectées à Active Directory. Le duo toxique préféré des DSI fatigués.
À croire que Microsoft sort ses failles comme Netflix ses séries : à intervalle régulier, avec toujours plus de suspense et des conséquences globales.
Cette faille permet à un attaquant ayant déjà compromis un compte admin Exchange (ou une machine) de remonter tout droit au Saint-Graal : le contrôle complet du domaine Active Directory. Le rêve d’un APT. Le cauchemar d’un RSSI.
🎯 L’axe d’attaque expliqué simplement (sans PowerShell, promis)
Comment ça marche concrètement ?
- Point d’entrée : une machine compromise (phishing, accès RDP, pièce jointe vérolée… la routine).
- Escalade : grâce à cette vulnérabilité, l’attaquant exploite un lien faible entre Exchange et Active Directory, généralement une mauvaise gestion des privilèges NTLM ou Kerberos.
- Prise de contrôle : création/modification de comptes, changement de mots de passe, élévation de privilèges jusqu’à Domain Admin.
- Victoire : l’attaquant contrôle l’annuaire, accède aux emails, déploie un ransomware ou installe une backdoor persistante. Enjoy.
Ce vecteur rappelle cruellement l’époque glorieuse de ProxyShell, sauf que là , le SSO devient un Saut Sans Obstacles.
🤡 Pourquoi c’est toujours la même histoire ?
Parce que chez Microsoft :
- L’AD n’a jamais été pensé pour la menace moderne (mais tout le monde l’utilise),
- Exchange on-premises est toujours là dans des milliers d’entreprises (parce que « on a un besoin métier spécifique »),
- Et que l’hybridation avec Entra ID (ex Azure AD) rend la cartographie des droits aussi claire que du code COBOL sans indentation.
Résultat ? Une surface d’attaque massive, complexe à patcher, et surtout encore très utilisée.
🛡️ Que faire pour s’en prémunir (spoiler : ce n’est pas si simple)
✔️ 1. Patch dès que possible
Microsoft a promis un correctif rapide. Il n’est pas encore disponible à l’heure de l’écriture de cet article, mais surveillez le Patch Tuesday et les bulletins de la CISA.
🧨 Si vous êtes sous Exchange 2013, désolé, c’est l’heure du « legacy cleanup ».
✔️ 2. Segmenter les droits Exchange
Ne donnez pas à Exchange plus de pouvoir qu’il n’en faut. Virez les droits Domain Admin, utilisez des comptes de service à permissions minimales, et lisez (enfin) les recommandations durs de Microsoft sur ce sujet.
✔️ 3. Mettez un vrai MFA partout (sauf sur votre grille pain, peut-être)
Pas de compte admin sans MFA. Jamais. MĂŞme pour le stagiaire. Surtout pour le stagiaire.
✔️ 4. Auditez vos logs comme si votre job en dépendait (c’est le cas)
Surveillez les événements suspects :
- Connexions AD anormales,
- Création de comptes inattendus,
- Changements de permissions Exchange ou AD non justifiés.
Utilisez un SIEM digne de ce nom, ou Zabbix avec un script maison si vous aimez vivre dangereusement.
✔️ 5. Déconnectez Exchange d’AD ?
On en rêve tous. Malheureusement, dans bien des cas, c’est encore techniquement ou contractuellement impossible. Pensez tout de même à limiter les relations de confiance, appliquer le principe du moindre privilège, et cloisonner les flux LDAP/LDAPS dans un VLAN très restrictif.
💡 Bonus : Script de vérification des droits AD liés à Exchange
Get-ADObject -LDAPFilter "(msExchHomeServerName=*)" -Properties memberOf | Select-Object Name, memberOf
Simple, basique. Un bon début pour détecter les comptes avec des droits non justifiés sur des boîtes aux lettres.
🤬 En conclusion : Exchange est-il encore raisonnable en 2025 ?
Non.
Mais comme beaucoup, vous n’avez pas le choix. Le vrai enjeu, ce n’est pas seulement de patcher en urgence, c’est de repenser l’architecture AD/Exchange avec une approche « zero trust ». Cloisonner, surveiller, documenter. Et… faire le deuil des vieilles architectures.
« Active Directory, c’est comme une tour Jenga : chaque patch est une main tremblante. »
Ă€ bon entendeur, chers admins.
🆕 Mise à jour du 8 août 2025 – CISA sort le carton rouge
La CISA n’a pas traîné : à peine la CVE-2025-53786 rendue publique que l’agence fédérale américaine sort une directive d’urgence (ED 25-02).
Message clair : « Vous patchez avant le 11 août à 9h00 EDT ou on vous tape sur les doigts ».
Et ce n’est pas juste pour faire joli dans les communiqués. La CISA liste précisément les actions à mener :
📋 Les ordres de mission (version traduite et dé-siliconnée)
- Installer le Hotfix d’avril 2025 ou une version ultérieure
→ Si vous êtes encore sur un build plus ancien, autant dire que vous êtes un panneau publicitaire « Hack me ». - Migrer vers le Dedicated Hybrid App
→ Séparer les fonctions hybrides cloud / on-premises pour limiter la casse en cas de compromission. - Réinitialiser les identifiants (keyCredentials) du principal de service Exchange
→ Histoire de fermer la porte arrière qui traîne depuis des années dans la configuration. - Exécuter le Health Checker Exchange
→ Parce qu’un scan de santé, ça fait toujours du bien, surtout quand votre SI est à l’agonie.
🎯 Pourquoi cette réaction éclair ?
Parce que cette faille est hautement exploitable : un attaquant avec des droits admin Exchange on-premises peut s’infiltrer dans Exchange Online sans laisser de traces évidentes.
En langage SecuSlice : c’est l’autoroute A7, sans péage, et avec un GPS vers votre messagerie cloud.
🛠️ Conseils bonus SecuSlice
- Testez vos procédures de révoquer les droits : ce n’est pas le moment de découvrir que personne ne sait le faire.
- Mettez un SIEM sur le pont : surveillez tout ce qui touche Ă vos comptes hybrides.
- Réfléchissez sérieusement à l’avenir d’Exchange on-premises : c’est un peu comme garder un fax en 2025, mais en beaucoup plus dangereux.
💬 « Ce n’est pas une faille, c’est une fonctionnalité non documentée » — probablement quelque part chez Microsoft.
![🔥 CVE-2025-53786 [MAJ] — Exchange, Active Directory et le grand n’importe quoi en 3 actes](https://secuslice.com/wp-content/uploads/2025/08/cve-microsoft-07082025-300x200.png)