Une nouvelle faille de sécurité Windows Server 2025 inquiète les professionnels de la cybersécurité : elle permettrait une élévation de privilèges Active Directory et donc le compromis complet des comptes utilisateurs, y compris les administrateurs de domaine. Baptisée « BadSuccessor », cette vulnérabilité exploite une fonctionnalité introduite récemment par Microsoft — les comptes de service gérés délégués (dMSA). Elle fonctionne avec la configuration par défaut et est facile à exécuter, ce qui en fait une menace sérieuse pour les environnements Active Directory, même ceux qui n’utilisent pas encore les dMSA.
Une vulnérabilité Active Directory liée à la nouvelle fonction dMSA
Un défaut dans le mécanisme d’authentification Kerberos
Le vecteur d’attaque utilisé repose sur une mauvaise gestion des identifiants dans le processus d’authentification Kerberos. Lorsqu’un compte dMSA remplace un ancien compte de service, le ticket Kerberos délivré par le Key Distribution Center (KDC) contient non seulement l’identifiant de sécurité (SID) du nouveau compte, mais également celui de l’ancien et de tous ses groupes associés.
Cette transmission implicite des autorisations ouvre la voie à un scénario d’escalade de privilèges. En simulant une migration de compte, un acteur malveillant peut obtenir les mêmes privilèges que le compte remplacé. Il lui suffit pour cela d’avoir les droits d’écriture sur n’importe quel attribut d’un objet dMSA — sans nécessité d’accès au compte de service d’origine.
Une attaque accessible en configuration par défaut
La simplicité d’exécution de cette technique rend la situation particulièrement préoccupante. Selon les chercheurs d’Akamai, dans 91 % des environnements analysés, des utilisateurs n’appartenant pas au groupe des administrateurs de domaine disposent des permissions requises pour initier une attaque.
Ce comportement est provoqué par un processus dit de « migration simulée ». À partir du moment où un dMSA est marqué comme successeur d’un compte utilisateur, le KDC traite la transition comme légitime et accorde au dMSA les autorisations héritées, sans vérification approfondie.
Un impact étendu pour les organisations utilisant Active Directory
Ce que dit Microsoft et les conseils à suivre
Microsoft a été informé de la faille le 1er avril 2025. Bien qu’un correctif de sécurité soit en développement, l’éditeur classe pour l’instant cette vulnérabilité comme d’« importance modérée ». L’argument étant que l’exploitation nécessite certains droits sur l’objet dMSA. En attendant un correctif officiel, les entreprises doivent prendre des mesures d’urgence pour limiter l’exposition.
Il est recommandé de restreindre les permissions de création de dMSA et de renforcer les droits sur les unités d’organisation (OU) critiques. Un script PowerShell publié par Akamai permet d’identifier les entités ayant les droits CreateChild sur les OU et pouvant donc potentiellement exploiter la vulnérabilité.
Apprendre à identifier et prévenir ce type d’abus
Comprendre les mécanismes internes d’Active Directory, les authentifications Kerberos et les techniques d’escalade de privilèges est essentiel pour anticiper les attaques de ce type. Pour ceux qui souhaitent développer leurs compétences, notre livre pour apprendre à hacker peut être une excellente ressource. Il aborde en profondeur les scénarios d’exploitation, les failles d’authentification et les pratiques pour simuler des attaques dans un cadre pédagogique.
Renforcer la sécurité AD face aux vecteurs modernes d’attaque
Une menace similaire aux attaques DCSync
Le danger posé par cette vulnérabilité est comparable à celui des attaques DCSync, qui permettent à un attaquant de récupérer les mots de passe de l’ensemble des comptes d’un domaine. Grâce à la permission « Replicating Directory Changes », les attaquants peuvent interroger le contrôleur de domaine comme s’ils étaient un service de réplication autorisé. BadSuccessor offre une puissance équivalente pour beaucoup moins de difficulté d’exécution.
Un défi pour les équipes sécurité
Le problème soulève une nouvelle question : comment prévenir les abus issus non pas d’une défaillance technique, mais d’un usage imprudent de fonctionnalités autorisées dans un environnement Active Directory ? Il ne s’agit pas de vulnérabilités classiques avec une signature évidente, mais d’une dérive des privilèges résultant d’une configuration trop permissive ou mal comprise.
Pour garantir la sécurité des environnements Microsoft, CyberCare propose des services de cybersécurité avancés dédiés à l’audit et au durcissement d’Active Directory, incluant l’évaluation des permissions dMSA et la prévention des élévations de privilèges non autorisées.
