🔍 Contexte

Article publié le 27 mars 2026 par Praetorian (blog technique). Il s’agit d’une analyse technique détaillée de la vulnérabilité CVE-2025-33073, portant sur l’exploitation de la délégation Kerberos non contrainte dans les environnements Windows Active Directory.

⚠️ Vulnérabilité analysée

CVE-2025-33073 affecte les hôtes Windows membres de domaine ne disposant pas du signature SMB activée. Elle permet à tout utilisateur de domaine disposant d’un accès réseau d’obtenir des privilèges SYSTEM sur un serveur membre non patché, sans nécessiter d’accès administrateur local préalable.

🔗 Mécanisme d’exploitation

  • La délégation non contrainte (introduite avec Windows 2000 / Server 2003) met en cache les TGT Kerberos des utilisateurs s’authentifiant sur l’hôte délégant.
  • L’attaque exploite la création d’enregistrements DNS via LDAP avec un pattern distinctif dans le hostname (marshaled target information).
  • Elle repose ensuite sur un relais SMB (authentification d’une machine vers elle-même) pour capturer et utiliser les tickets.
  • Depuis l’hôte compromis, le chemin vers la compromission complète du domaine est décrit comme trivial.

📌 Changement de paradigme

Avant CVE-2025-33073, exploiter un hôte à délégation non contrainte nécessitait :

  • Un accès administrateur local existant, ou
  • D’attendre qu’un utilisateur privilégié s’authentifie naturellement.

Désormais, aucun prérequis élevé n’est nécessaire pour un utilisateur de domaine standard.

🛡️ Mesures défensives mentionnées

  • Appliquer le patch CVE-2025-33073 en priorité sur les systèmes à délégation non contrainte
  • Activer le SMB signing sur ces systèmes
  • Marquer les comptes privilégiés comme « Account is sensitive and cannot be delegated »
  • Ajouter les comptes privilégiés au groupe Protected Users
  • Activer LSASS RunAsPPL (Protected Process Light) pour bloquer l’extraction de credentials
  • Surveiller la création d’enregistrements DNS par des comptes non-administrateurs via LDAP
  • Surveiller les authentifications SMB d’une machine vers elle-même

📄 Nature de l’article

Analyse technique publiée par Praetorian, visant à documenter le fonctionnement de CVE-2025-33073, son impact sur les environnements Active Directory et les indicateurs de détection associés.

🧠 TTPs et IOCs détectés

TTP

  • T1558 — Steal or Forge Kerberos Tickets (Credential Access)
  • T1557.001 — LLMNR/NBT-NS Poisoning and SMB Relay (Credential Access)
  • T1134 — Access Token Manipulation (Privilege Escalation)
  • T1136 — Create Account (Persistence)
  • T1071 — Application Layer Protocol (Command and Control)
  • T1018 — Remote System Discovery (Discovery)
  • T1003.001 — OS Credential Dumping: LSASS Memory (Credential Access)

IOC

  • CVEs : CVE-2025-33073

🔗 Source originale : https://www.praetorian.com/blog/cve-2025-33073-ntlm-reflection-one-hop/