L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory.
Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse.
La détection repose sur la surveillance des ID d’événement Windows 4662, 5136 et 5137, ainsi que sur des requêtes de chasse pratiques et des conseils d’atténuation. Les attaquants ont besoin de permissions CreateChild sur les unités organisationnelles pour créer des objets dMSA en dehors du conteneur par défaut des comptes de service gérés.
La technique tire parti de la redirection automatique par le KDC de Windows Server 2025 des demandes d’authentification des comptes remplacés vers leurs dMSA correspondants, accordant effectivement à l’attaquant toutes les permissions du compte usurpé.
Cet article est une analyse technique visant à informer sur les menaces et vulnérabilités actuelles, en fournissant des stratégies de détection et des conseils de mitigation.
🧠 TTPs et IOCs détectés
TTPs
Technique d’élévation de privilèges exploitant les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory, manipulation des attributs des dMSA pour usurper l’identité des utilisateurs de domaine, exploitation de la redirection automatique par le KDC des demandes d’authentification.
IOCs
ID d’événement Windows 4662, 5136, 5137
🔗 Source originale : https://unit42.paloaltonetworks.com/badsuccessor-attack-vector/