Une nouvelle faille de sécurité critique menace les environnements Active Directory basé sur Windows Server 2025 ! Cette faille surnommée “BadSuccessor” exploite une faiblesse dans une nouveauté de Windows Server 2025 : les comptes de service dMSA. Faisons le point.
BadSuccessor : une attaque triviale qui exploite une nouvelle fonctionnalité
L’attaque “BadSuccessor” tire parti de la nouvelle fonctionnalité “Delegated Managed Service Account” (dMSA), introduite dans Windows Server 2025. Ce type de compte représente une alternative aux comptes de service MSA et gMSA, l’idée étant d’apporter une couche de sécurité supplémentaire pour se protéger de certaines attaques (Kerberoasting, par exemple).
En exploitant cette vulnérabilité, un attaquant peut compromettre n’importe quel utilisateur présent dans l’annuaire Active Directory, ce qui ouvre la voie à une prise de contrôle totale du domaine. Cette faille de sécurité permet donc une élévation de privilèges.
Yuval Gordon, chercheur en sécurité chez Akamai, explique que cette vulnérabilité “fonctionne avec la configuration par défaut et est facile à mettre en œuvre.” – Pire encore, plus de 9 environnements AD sur 10 sous Windows Server 2025 seraient vulnérables : “Ce problème affecte probablement la plupart des organisations qui s’appuient sur AD. Dans 91 % des environnements que nous avons examinés, nous avons trouvé des utilisateurs en dehors du groupe des administrateurs de domaine qui disposaient des autorisations nécessaires pour effectuer cette attaque.”
Dans le cas présent, l’attaque BadSuccessor s’appuie sur une fonction permet de migrer facilement d’un compte de service existant à un compte dMSA. Le cœur du problème réside dans la phase d’authentification Kerberos dMSA. En effet, lors de la migration d’un compte de service existant vers un dMSA, le Privilege Attribute Certificate (PAC) intégré au ticket TGT de Kerberos inclut non seulement l’identifiant SID du dMSA, mais aussi les SIDs du compte de service remplacé et de tous ses groupes associés.
Cette “simulation de migration” permet à un attaquant, avec des droits d’écriture sur les attributs d’un dMSA quelconque, de s’approprier les privilèges du compte remplacé, y compris ceux d’un administrateur de domaine, même si l’organisation n’utilise pas de dMSA.
“Une fois que nous avons marqué un dMSA comme précédé par un utilisateur, le KDC suppose automatiquement qu’une migration légitime a eu lieu et accorde volontiers à notre dMSA toutes les autorisations que l’utilisateur original avait, comme si nous étions son successeur légitime.”, précise Yuval Gordon.
Comment se protéger ?
Le chercheur d’Akamai, à l’origine de cette découverte, a signalé cette vulnérabilité à Microsoft le 1er avril 2025. Néanmoins, l’entreprise américaine a associé une sévérité modérée à cette faille pour la raison suivante : l’exploitation nécessite que l’attaquant dispose de permissions spécifiques sur l’objet dMSA.
Pour le moment, il n’existe pas de correctif : il est en cours de développement. Il est probable qu’il soit publié avec le Patch Tuesday de juin 2025, sans que ce soit une certitude. Yuval Gordon recommande aux entreprises d’auditer l’utilisation d’un dMSA, ainsi que la modification de permissions, grâce au suivi de certains événements de sécurité.
En complément, Akamai a mis à disposition un script PowerShell pour identifier les principaux (principals) non-par défaut qui peuvent créer des dMSAs et lister les unités d’organisation (OU) où ils possèdent cette permission.
“Cette vulnérabilité introduit une voie d’abus auparavant inconnue et à fort impact, qui permet à tout utilisateur disposant des autorisations CreateChild sur une OU de compromettre n’importe quel utilisateur du domaine et d’obtenir un pouvoir similaire au privilège Replicating Directory Changes utilisé pour effectuer les attaques DCSync.”, conclut Yuval Gordon. Espérons que le patch de sécurité soit prochainement publié…
Qu’en pensez-vous ?
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.