Contexte: Akamai publie une analyse expliquant l’impact du patch Microsoft pour la vulnérabilité BadSuccessor (CVE-2025-53779) dans Active Directory, liée aux nouveaux comptes dMSA sous Windows Server 2025.

Avant patch, BadSuccessor permettait à un utilisateur faiblement privilégié de lier un delegated Managed Service Account (dMSA) à n’importe quel compte AD, poussant le KDC à fusionner les privilèges dans le PAC et à retourner un paquet de clés Kerberos du compte cible, entraînant une élévation directe au niveau Domain Admin.

Après patch, Microsoft a modifié la logique du KDC (kdcsvc.dll) pour valider la relation au moment de l’émission de ticket. Une liaison unidirectionnelle dMSA→cible n’est plus honorée. Seule une liaison mutuelle (dMSA et compte cible se référencent) — conforme à une migration légitime — permet d’obtenir un ticket. L’attribut de lien reste toutefois écrivable dans l’annuaire, et la migration fonctionne même si le compte cible reste activé.

La technique persiste sous forme de deux primitives post-patch:

  • Acquisition d’identifiants et de privilèges (alternative aux shadow credentials): si l’attaquant contrôle un principal cible et un dMSA, il peut établir un couplage mutuel et obtenir un ticket pour le dMSA, agissant avec les privilèges effectifs de la cible et récupérant ses clés plus rapidement et discrètement qu’un Kerberoasting.
  • Dump ciblé de clés dans un domaine déjà compromis (alternative à DCSync): extraction des clés via l’émission normale de tickets, avec une télémétrie différente pouvant contourner certaines détections.

Détection et signaux:

  • SACLs: auditer la création de dMSA et les changements des attributs de migration des deux côtés (dMSA et compte précédant/supersedé).
  • Indices comportementaux: logs répétés d’extraction de mot de passe dMSA sur une courte période; utilisateur activé lié à un dMSA; ancien utilisateur désactivé lié à un nouveau dMSA.

Mitigation: Mettre à jour les contrôleurs de domaine Windows Server 2025 pour CVE-2025-53779; réduire la surface d’attaque en restreignant les délégations et droits sur les OUs/containers et les objets dMSA (création/modification et attributs de migration). L’article est une publication de recherche visant à analyser le patch et à clarifier la persistance des mécanismes d’attaque.

TTPs observés:

  • Abus des liens de migration dMSA pour hériter de privilèges/identifiants.
  • Validation KDC requérant couplage mutuel post-patch.
  • Acquisition de clés via paquet de clés dMSA (alternative à Kerberoasting/shadow creds).
  • Dump de secrets via émission de tickets (alternative à DCSync).
  • Détection via SACLs et surveillance de l’émission de TGT et des récupérations de mots de passe dMSA. 🔍

🧠 TTPs et IOCs détectés

TTP

Abus des liens de migration dMSA pour hériter de privilèges/identifiants, Validation KDC requérant couplage mutuel post-patch, Acquisition de clés via paquet de clés dMSA (alternative à Kerberoasting/shadow creds), Dump de secrets via émission de tickets (alternative à DCSync), Détection via SACLs et surveillance de l’émission de TGT et des récupérations de mots de passe dMSA.

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse fournie.

🔗 Source originale : https://www.akamai.com/blog/security-research/badsuccessor-is-dead-analyzing-badsuccessor-patch