BadSuccessor : une nouvelle vulnérabilité dans Windows Server 2025 permet de compromettre des domaines Active Directory

Microsoft 365 continuera de fonctionner sur Windows 10 après 2025
Share on Pinterest Share on LinkedIn

Des chercheurs d’Akamai découvrent une vulnérabilité critique dans l’utilisation des comptes de service délégués (dMSA) exposant les organisations utilisant Windows Server 2025 à des attaques d’escalade de privilèges.

Une récente étude de Yuval Gordon, expert en cybersécurité chez Akamai, révèle une faille sérieuse dans Windows Server 2025, affectant les environnements de Active Directory. Cette vulnérabilité, baptisée BadSuccessor, permet à un attaquant d’escalader ses privilèges de manière discrète et de prendre le contrôle total du domaine, sans nécessiter l’exploitation de failles traditionnelles ou la compromission de mots de passe.

La faille se situe dans le fonctionnement des delegated Managed Service Accounts (dMSA), une fonctionnalité récemment introduite par Microsoft pour simplifier la gestion des comptes de service. Selon le rapport, le mécanisme de migration de ces comptes peut être manipulé pour hériter des permissions de n’importe quel compte, y compris des administrateurs de domaine, sans nécessiter de privilèges élevés.

Une escalade silencieuse des privilèges

BadSuccessor permet à tout utilisateur ayant la permission de créer des objets dMSA — une pratique courante dans certains environnements mal configurés — de lier un nouveau dMSA à n’importe quel autre compte du domaine (y compris Domain Admins) simplement en modifiant deux attributs :

  • msDS-ManagedAccountPrecededByLink : qui définit le compte "hérité".
  • msDS-DelegatedMSAState : qui simule une migration réussie.

Une fois ce lien établi, le Centre de Distribution de Clés (KDC), lors de la génération du ticket d’authentification pour le dMSA, ajoute les privilèges et groupes du compte original au nouvel objet, sans aucune validation supplémentaire.

Impact : du simple utilisateur au contrôle total du domaine

L’attaque fonctionne même dans des domaines qui n’utilisent pas activement les dMSA. Il suffit qu’il existe un contrôleur de domaine sous Windows Server 2025, ce qui élargit considérablement la portée de la menace, étant une configuration par défaut du système d’exploitation.

Outre l’obtention de privilèges administratifs, la vulnérabilité permet également de récupérer des clés cryptographiques réutilisées, ouvrant ainsi la voie à la usurpation d’identité et à un accès prolongé aux systèmes et services au sein du domaine.

Microsoft reconnaît le problème, mais aucun correctif n’est disponible

Akamai a informé Microsoft en avril 2025. La société a reconnu la faille, la qualifiant de risque modéré, arguant qu’un permis spécifique (CreateChild) est requis, ce qui, selon elle, implique déjà un niveau élevé de privilèges. Actuellement, aucun patch n’a été publié.

Cependant, Akamai met en garde que cette permission n’est généralement pas considérée comme un risque élevé, et que beaucoup d’environnements permettent son utilisation sans contrôles stricts, rendant la menace difficile à détecter.

Comment détecter et atténuer BadSuccessor

En attendant un correctif officiel, Akamai a publié une série de recommandations pour détecter et atténuer les abus potentiels :

Détection :

  • Auditer la création de dMSAs via l’événement ID 5137.
  • Surveiller les modifications de l’attribut msDS-ManagedAccountPrecededByLink avec l’événement ID 5136.
  • Vérifier les authentifications dMSA via les événements ID 2946, révélant quand un TGT est généré avec le paquet de clés hérité.

Atténuation :

  • Restreindre strictement qui peut créer des dMSAs, particulièrement dans les conteneurs et unités organisationnelles.
  • Utiliser des outils d’audit pour identifier tous les utilisateurs ayant des permissions CreateChild sur les dMSAs.
  • Appliquer le principe du moindre privilège à la gestion des comptes de service.

Conclusion

Le cas BadSuccessor illustre comment de nouvelles fonctionnalités conçues pour simplifier l’administration peuvent devenir des vecteurs d’attaque critiques si elles ne sont pas accompagnées de contrôles adéquats. La capacité d’un attaquant à escalader ses privilèges sans modifier des groupes de sécurité ni générer d’alertes communes constitue un défi particulièrement difficile à détecter.

Les organisations utilisant déjà Windows Server 2025 doivent examiner leur configuration d’Active Directory, limiter la délégation et appliquer des mesures proactives de surveillance. Comme le rappelle Akamai dans son rapport, « il n’est pas nécessaire d’avoir une vulnérabilité pour exploiter un système, juste un comportement mal compris ».

(Source : Akamai)

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Record mondial en communications optiques : transmission de 1,02 pétabits par seconde sur 1 808 kilomètres

Se déconnecter pour mieux reconnecter : pourquoi éteindre son téléphone en vacances est le meilleur cadeau que vous puissiez vous faire

ExaGrid annonce la compatibilité avec Rubrik et promet de réduire les coûts et d’améliorer la reprise après sinistre

Groq inaugure son premier centre de données en Europe pour dominer l’ère de l’inférence en intelligence artificielle

Seagate lance sur le marché ses disques durs de 30 To pour faire face à l’explosion du stockage exigée par l’intelligence artificielle

Google investit 3 milliards de dollars dans l’énergie hydroélectrique pour alimenter son expansion en IA et centres de données

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.