Un article publié par Akamai met en lumière une vulnérabilité d’escalade de privilèges dans Windows Server 2025. Découverte par le chercheur Yuval Gordon, cette faille permet aux attaquants de compromettre n’importe quel utilisateur dans Active Directory (AD).

Source : Akamai Security Research – 21 mai 2025
Auteur : Yuval Gordon
Objectif : révéler une faille de type escalade de privilèges dans les dMSA (delegated Managed Service Accounts) de Windows Server 2025, permettant à un attaquant de prendre le contrôle total d’un domaine Active Directory (AD).

🚨 Résumé exécutif

Une vulnérabilité découverte dans la nouvelle fonctionnalité dMSA introduite par Microsoft dans Windows Server 2025 permet à des utilisateurs non privilégiés :

  • de créer ou manipuler un dMSA,
  • de simuler une migration de compte,
  • et d’obtenir les privilèges de n’importe quel utilisateur, jusqu’aux Domain Admins.

Cette technique, surnommée BadSuccessor, fonctionne même si l’environnement n’utilise pas activement les dMSAs, tant qu’au moins un DC exécute Windows Server 2025.

🧠 Qu’est-ce qu’un dMSA ?

Les delegated Managed Service Accounts (dMSA) sont une évolution des gMSA, permettant de migrer facilement un ancien compte de service vers un nouveau modèle géré automatiquement.

Lors de la migration, le dMSA hérite :

  • des droits du compte remplacé,
  • de ses paramètres SPN et de délégation,
  • de ses mots de passe, pour garantir une compatibilité avec les tickets existants.

🧨 Le cœur de la faille

📌 Comportement exploitable :

La migration repose sur deux attributs LDAP :

  • msDS-ManagedAccountPrecededByLink : lie un dMSA à l’ancien compte
  • msDS-DelegatedMSAState : indique l’état de la migration (valeur 2 = terminée)

👉 En modifiant manuellement ces deux attributs, un attaquant peut faire croire au contrôleur de domaine (KDC) qu’une migration légitime a eu lieu.

✅ Résultat :

À chaque authentification, le dMSA usurpateur reçoit un Ticket Kerberos avec les privilèges du compte ciblé, y compris :

  • les Group SIDs (Domain Admins, Enterprise Admins, etc.),
  • et même les anciennes clés cryptographiques de l’utilisateur ciblé (via la structure KERB-DMSA-KEY-PACKAGE).

🧪 Exemple d’attaque

  1. Un utilisateur non privilégié identifie une OU sur laquelle il peut créer des objets.
  2. Il crée un dMSA dans cette OU.
  3. Il modifie les deux attributs du dMSA :
    • msDS-ManagedAccountPrecededByLink → DN de l’utilisateur ciblé (ex : Administrator)
    • msDS-DelegatedMSAState2 (migration terminée)
  4. Il utilise Rubeus pour demander un TGT au nom du dMSA.
  5. Le ticket obtenu contient tous les droits de l’utilisateur ciblé.

🎯 Aucun groupe n’est modifié, aucun compte sensible n’est touché, ce qui rend cette attaque quasi indétectable par les contrôles classiques.

🕵️‍♀️ Détection

Événements à surveiller :

  • Création de dMSAEvent ID 5137 (Audit Directory Service Changes)
  • Modification des attributsEvent ID 5136 pour msDS-ManagedAccountPrecededByLink
  • Authentification KerberosEvent ID 2946 (structure KERB-DMSA-KEY-PACKAGE dans les TGT)

🛡️ Mitigation (en l’absence de patch)

Microsoft a reconnu la faille, mais ne propose pas encore de correctif. Voici les mesures recommandées :

  • Limiter strictement qui peut :
    • créer des dMSAs (droits Create msDS-DelegatedManagedServiceAccount)
    • modifier leurs attributs sensibles
  • Auditer les OU accessibles en écriture par des comptes non privilégiés
  • Utiliser les outils fournis par Akamai pour identifier les utilisateurs ayant ces droits

🎬 Conclusion

BadSuccessor démontre que même des droits perçus comme mineurs — comme CreateChild sur une OU — peuvent être exploités pour prendre le contrôle total d’un domaine. Cette vulnérabilité souligne les dangers liés à l’introduction de nouvelles fonctionnalités peu documentées, et à la complexité croissante des systèmes AD.

👉 Les dMSAs doivent désormais être considérés comme des objets critiques, avec les protections associées.

📌 À retenir :

  • Vulnérabilité non corrigée
  • Exploitable sans toucher aux groupes privilégiés
  • Impact équivalent à un DCSync ou à un admin complet
  • Nécessite une vigilance immédiate sur les droits AD

🔗 Source originale : https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory?is=09685296f9ea1fb2ee0963f2febaeb3a55d8fb1eddbb11ed4bd2da49d711f2c7

🖴 Archive : https://web.archive.org/web/20250524104011/https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory?is=09685296f9ea1fb2ee0963f2febaeb3a55d8fb1eddbb11ed4bd2da49d711f2c7