𧚠Une faille critique dans Exchange + AD : câest reparti pour un tour
Ce 7 août 2025, la CVE-2025-53786 est officiellement révélée. Elle affecte les infrastructures on-premises de Microsoft Exchange connectées à Active Directory. Le duo toxique préféré des DSI fatigués.
à croire que Microsoft sort ses failles comme Netflix ses séries : à intervalle régulier, avec toujours plus de suspense et des conséquences globales.
Cette faille permet Ă un attaquant ayant dĂ©jĂ compromis un compte admin Exchange (ou une machine) de remonter tout droit au Saint-Graal : le contrĂŽle complet du domaine Active Directory. Le rĂȘve dâun APT. Le cauchemar dâun RSSI.
đŻ Lâaxe dâattaque expliquĂ© simplement (sans PowerShell, promis)
Comment ça marche concrÚtement�
- Point dâentrĂ©e : une machine compromise (phishing, accĂšs RDP, piĂšce jointe vĂ©rolĂ©e⊠la routine).
- Escalade : grĂące Ă cette vulnĂ©rabilitĂ©, lâattaquant exploite un lien faible entre Exchange et Active Directory, gĂ©nĂ©ralement une mauvaise gestion des privilĂšges NTLM ou Kerberos.
- Prise de contrĂŽle : crĂ©ation/modification de comptes, changement de mots de passe, Ă©lĂ©vation de privilĂšges jusquâĂ Domain Admin.
- Victoire : lâattaquant contrĂŽle lâannuaire, accĂšde aux emails, dĂ©ploie un ransomware ou installe une backdoor persistante. Enjoy.
Ce vecteur rappelle cruellement lâĂ©poque glorieuse de ProxyShell, sauf que lĂ , le SSO devient un Saut Sans Obstacles.
đ€Ą Pourquoi câest toujours la mĂȘme histoire ?
Parce que chez Microsoft :
- LâAD nâa jamais Ă©tĂ© pensĂ© pour la menace moderne (mais tout le monde lâutilise),
- Exchange on-premises est toujours lĂ dans des milliers dâentreprises (parce que « on a un besoin mĂ©tier spĂ©cifique »),
- Et que lâhybridation avec Entra ID (ex Azure AD) rend la cartographie des droits aussi claire que du code COBOL sans indentation.
RĂ©sultat ? Une surface dâattaque massive, complexe Ă patcher, et surtout encore trĂšs utilisĂ©e.
đĄïž Que faire pour sâen prĂ©munir (spoiler : ce nâest pas si simple)
âïž 1. Patch dĂšs que possible
Microsoft a promis un correctif rapide. Il nâest pas encore disponible Ă lâheure de lâĂ©criture de cet article, mais surveillez le Patch Tuesday et les bulletins de la CISA.
𧚠Si vous ĂȘtes sous Exchange 2013, dĂ©solĂ©, câest lâheure du « legacy cleanup ».
âïž 2. Segmenter les droits Exchange
Ne donnez pas Ă Exchange plus de pouvoir quâil nâen faut. Virez les droits Domain Admin, utilisez des comptes de service Ă permissions minimales, et lisez (enfin) les recommandations durs de Microsoft sur ce sujet.
âïž 3. Mettez un vrai MFA partout (sauf sur votre grille pain, peut-ĂȘtre)
Pas de compte admin sans MFA. Jamais. MĂȘme pour le stagiaire. Surtout pour le stagiaire.
âïž 4. Auditez vos logs comme si votre job en dĂ©pendait (câest le cas)
Surveillez les événements suspects :
- Connexions AD anormales,
- Création de comptes inattendus,
- Changements de permissions Exchange ou AD non justifiés.
Utilisez un SIEM digne de ce nom, ou Zabbix avec un script maison si vous aimez vivre dangereusement.
âïž 5. DĂ©connectez Exchange dâAD ?
On en rĂȘve tous. Malheureusement, dans bien des cas, câest encore techniquement ou contractuellement impossible. Pensez tout de mĂȘme Ă limiter les relations de confiance, appliquer le principe du moindre privilĂšge, et cloisonner les flux LDAP/LDAPS dans un VLAN trĂšs restrictif.
đĄ Bonus : Script de vĂ©rification des droits AD liĂ©s Ă Exchange
Get-ADObject -LDAPFilter "(msExchHomeServerName=*)" -Properties memberOf | Select-Object Name, memberOf
Simple, basique. Un bon début pour détecter les comptes avec des droits non justifiés sur des boßtes aux lettres.
đ€Ź En conclusion : Exchange est-il encore raisonnable en 2025 ?
Non.
Mais comme beaucoup, vous nâavez pas le choix. Le vrai enjeu, ce nâest pas seulement de patcher en urgence, câest de repenser lâarchitecture AD/Exchange avec une approche « zero trust ». Cloisonner, surveiller, documenter. Et⊠faire le deuil des vieilles architectures.
«âŻActive Directory, câest comme une tour Jenga : chaque patch est une main tremblante.âŻÂ»
Ă bon entendeur, chers admins.
đ Mise Ă jour du 8 aoĂ»t 2025 â CISA sort le carton rouge
La CISA nâa pas traĂźnĂ© : Ă peine la CVE-2025-53786 rendue publique que lâagence fĂ©dĂ©rale amĂ©ricaine sort une directive dâurgence (ED 25-02).
Message clair : « Vous patchez avant le 11 août à 9h00 EDT ou on vous tape sur les doigts ».
Et ce nâest pas juste pour faire joli dans les communiquĂ©s. La CISA liste prĂ©cisĂ©ment les actions Ă mener :
đ Les ordres de mission (version traduite et dĂ©-siliconnĂ©e)
- Installer le Hotfix dâavril 2025 ou une version ultĂ©rieure
â Si vous ĂȘtes encore sur un build plus ancien, autant dire que vous ĂȘtes un panneau publicitaire « Hack me ». - Migrer vers le Dedicated Hybrid App
â SĂ©parer les fonctions hybrides cloud / on-premises pour limiter la casse en cas de compromission. - RĂ©initialiser les identifiants (keyCredentials) du principal de service Exchange
â Histoire de fermer la porte arriĂšre qui traĂźne depuis des annĂ©es dans la configuration. - ExĂ©cuter le Health Checker Exchange
â Parce quâun scan de santĂ©, ça fait toujours du bien, surtout quand votre SI est Ă lâagonie.
đŻ Pourquoi cette rĂ©action Ă©clair ?
Parce que cette faille est hautement exploitable : un attaquant avec des droits admin Exchange on-premises peut sâinfiltrer dans Exchange Online sans laisser de traces Ă©videntes.
En langage SecuSlice : câest lâautoroute A7, sans pĂ©age, et avec un GPS vers votre messagerie cloud.
đ ïž Conseils bonus SecuSlice
- Testez vos procĂ©dures de rĂ©voquer les droits : ce nâest pas le moment de dĂ©couvrir que personne ne sait le faire.
- Mettez un SIEM sur le pont : surveillez tout ce qui touche Ă vos comptes hybrides.
- RĂ©flĂ©chissez sĂ©rieusement Ă lâavenir dâExchange on-premises : câest un peu comme garder un fax en 2025, mais en beaucoup plus dangereux.
đŹ « Ce nâest pas une faille, câest une fonctionnalitĂ© non documentĂ©e » â probablement quelque part chez Microsoft.
![đ„ CVE-2025-53786 [MAJ] â Exchange, Active Directory et le grand nâimporte quoi en 3 actes](https://secuslice.com/wp-content/uploads/2025/08/cve-microsoft-07082025-300x200.png)