L’article de Cyber Security News met en lumière un nouvel outil de preuve de concept, SharpSuccessor, qui exploite la vulnérabilité récemment découverte BadSuccessor dans la fonctionnalité de compte de service géré délégué (dMSA) de Windows Server 2025.
SharpSuccessor, développé par Logan Goins, montre comment des attaquants avec des permissions minimales dans Active Directory peuvent escalader leurs privilèges jusqu’au niveau d’administrateur de domaine. Cette vulnérabilité, découverte par le chercheur d’Akamai Yuval Gordon, manipule les attributs critiques msDS-ManagedAccountPrecededByLink et msDS-DelegatedMSAState pour créer un objet dMSA malveillant capable d’usurper n’importe quel compte cible.
L’outil nécessite seulement des permissions CreateChild sur une unité organisationnelle pour fonctionner. Il utilise une chaîne d’attaque multi-étapes exploitant les protocoles d’authentification Kerberos pour obtenir un Ticket Granting Ticket (TGT), puis un ticket de service avec les privilèges de l’utilisateur ciblé, contournant ainsi les contrôles de sécurité traditionnels d’Active Directory.
Bien que Microsoft ait classé cette vulnérabilité comme de « sévérité modérée » et n’ait pas encore publié de correctif, les experts recommandent d’utiliser le script de détection d’Akamai et de restreindre la création de dMSA aux administrateurs de confiance. Cet article souligne l’importance de mesures de sécurité proactives face à cette menace potentielle.
🔗 Source originale : https://cybersecuritynews.com/sharpsuccessor-poc-badsuccessor/
🖴 Archive : https://web.archive.org/web/20250528181308/https://cybersecuritynews.com/sharpsuccessor-poc-badsuccessor/