Microsoft explique l’impact des mises à jour KB5055523/KB5055526 et KB5057784 sur les connexions Kerberos Windows Hello DC

Microsoft explique l’impact des mises à jour KB5055523/KB5055526 et KB5057784 sur les connexions Kerberos Windows Hello DC

Annonce critique : problèmes d’authentification Kerberos Windows Hello identifiés

Microsoft a reconnu un problème important affectant l’authentification Kerberos Windows Hello sur les contrôleurs de domaine Active Directory (AD DC).Ce problème est apparu suite à l’installation des mises à jour Patch Tuesday d’avril 2025, affectant spécifiquement Windows Server 2025 (KB5055523), Server 2022 (KB5055526), ​​Server 2019 (KB5055519) et Server 2016 (KB5055521).

Détails de l’échec d’authentification

Les mises à jour ont entraîné des complications lors du traitement des connexions ou délégations Kerberos utilisant des informations d’identification basées sur des certificats. Ce problème se manifeste principalement dans les systèmes dépendant de la confiance des clés via le champ msds-KeyCredentialLink dans Active Directory. Par conséquent, les organisations utilisant Windows Hello Entreprise (WHfB) dans des environnements de confiance des clés, ou celles utilisant l’authentification par clé publique de périphérique (Machine PKINIT), peuvent rencontrer des échecs d’authentification.

Microsoft a expliqué :

Après l’installation de la mise à jour de sécurité mensuelle Windows d’avril, publiée le 8 avril 2025 (KB5055523 / KB5055526 / KB5055519 / KB5055521) ou une version ultérieure, les contrôleurs de domaine Active Directory (DC) peuvent rencontrer des problèmes lors du traitement des connexions ou délégations Kerberos utilisant des informations d’identification basées sur des certificats qui reposent sur l’approbation de clé via le champ msds-KeyCredentialLink d’Active Directory. Cela peut entraîner des problèmes d’authentification dans les environnements d’approbation de clé Windows Hello Entreprise (WHfB) ou dans les environnements ayant déployé l’authentification par clé publique de périphérique (également appelée PKINIT machine).

Les protocoles concernés incluent la cryptographie à clé publique Kerberos pour l’authentification initiale (Kerberos PKINIT) et la délégation de service pour utilisateur basée sur les certificats (S4U), qui fonctionne à la fois via la délégation contrainte Kerberos (KCD) et la délégation contrainte basée sur les ressources Kerberos (RBKCD).

Comprendre la cause profonde

Cette interruption est due à un problème de compatibilité lié aux correctifs corrigeant une vulnérabilité de sécurité réseau dans Windows Kerberos, identifiée comme CVE-2025-26647. Plus de détails sont disponibles dans les notes de correctif sous KB5057784. Ces correctifs étant encore en phase de déploiement initial ou d’audit, ils ne sont pas encore pleinement appliqués.

Selon Microsoft, le problème provient des nouveaux protocoles de sécurité introduits dans les récentes mises à jour. Plus précisément, la méthode de validation des certificats pour l’authentification Kerberos par les contrôleurs de domaine a été modifiée. Le processus mis à jour nécessite désormais que les certificats se connectent à une racine du magasin NTAuth, comme détaillé dans l’article KB5057784.

Microsoft a noté :

Ce problème est lié aux mesures de sécurité décrites dans l’article KB5057784, Protections pour CVE-2025-26647 (authentification Kerberos).À compter des mises à jour Windows publiées le 8 avril 2025 et ultérieures, la méthode de validation des certificats utilisés pour l’authentification Kerberos par les contrôleurs de domaine a changé. Suite à cette mise à jour, ils vérifieront si les certificats sont liés à une racine du magasin NTAuth, comme décrit dans l’article KB5057784.

Ce comportement peut être contrôlé par la valeur de registre AllowNtAuthPolicyBypassdans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc. Si AllowNtAuthPolicyBypassn’existe pas, le contrôleur de domaine se comporte par défaut comme si la valeur était définie sur « 1 ».

Les deux symptômes suivants ont été identifiés :

  • Si la valeur de registre AllowNtAuthPolicyBypassest configurée sur « 1 » sur le contrôleur de domaine d’authentification, l’ID d’événement Kerberos-Key-Distribution-Center 45 sera enregistré à plusieurs reprises, indiquant : « Le centre de distribution de clés (KDC) a rencontré un certificat client qui était valide mais qui n’était pas lié à une racine dans le magasin NTAuth.» Bien que cet événement puisse être enregistré plusieurs fois, les processus de connexion affectés restent réussis sans autres problèmes.
  • À l’inverse, si AllowNtAuthPolicyBypassla valeur est « 2 », les connexions des utilisateurs échoueront et l’ID d’événement Kerberos-Key-Distribution-Center 21 apparaîtra dans les journaux d’événements, indiquant : « Le certificat client de l’utilisateur n’est pas valide et a entraîné l’échec de la connexion par carte à puce.»

Solution de contournement actuelle et informations complémentaires

Pour les organisations actuellement confrontées à ces problèmes d’authentification, Microsoft recommande d’ajuster le paramètre du Registre en remplaçant la valeur « 2 » par « 1 » afin d’atténuer temporairement l’impact. Pour plus d’informations sur ce problème, consultez l’entrée du tableau de bord d’intégrité de Microsoft Windows.

Pour plus d’informations et de mises à jour sur cette situation en développement, veuillez consulter l’ article de Neowin.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *