Une faille critique sans correctif met en danger les environnements Active Directory sous Windows Server 2025.
Une faille critique liée à une nouvelle fonctionnalité de Windows Server 2025 a été découverte. Elle concerne les Delegated Managed Service Accounts (dMSA). Ces derniers sont censés améliorer la sécurité, mais ils peuvent aussi être exploités pour l’élévation de privilèges dans Active Directory. Aujourd’hui, il n’existe aucun correctif pour contrer ce problème.
Plus précisément, les chercheurs d’Akamai ont découvert une vulnérabilité répondant au nom de BadSuccessor. Il permet aux attaquants de se faire passer pour des administrateurs de domaine en détournant les dMSA. Cela met en évidence une faille structurelle persistante : la mauvaise gestion des comptes de service dans les environnements d’entreprise.
Conseils et solutions
Semperis et Akamai ont travaillé en étroite collaboration pour mettre au point une solution : la mise à jour de la plateforme Directory Services Protector (DSP), avec les ajouts de 1 IOE (indicateur d’exposition) et de 3 IOCs (indicateurs de compromission) spécifiques aux dMSA. Ces outils permettent d’identifier quels sont les droits de délégation présentés comme excessifs, les liaisons suspectes repérées entre dMSA et comptes à privilèges ainsi que les tentatives de compromission de comptes sensibles comme KRBTGT.
La faille affecte toutes les organisations qui utilisent au moins un DC Windows Server 2025. Le risque, c’est qu’un seul DC mal configuré peut compromettre l’entièreté d’un environnement AD. Il faut donc réagir rapidement et pour ce faire, Semperis recommande la réalisation d’un audit immédiat des droits dMSA ainsi qu’une surveillance active par le biais des solutions spécialisées comme DSP.
