Active Directory

Contexte: Akamai publie une analyse expliquant l’impact du patch Microsoft pour la vulnérabilité BadSuccessor (CVE-2025-53779) dans Active Directory, liée aux nouveaux comptes dMSA sous Windows Server 2025. Avant patch, BadSuccessor permettait à un utilisateur faiblement privilégié de lier un delegated Managed Service Account (dMSA) à n’importe quel compte AD, poussant le KDC à fusionner les privilèges dans le PAC et à retourner un paquet de clés Kerberos du compte cible, entraînant une élévation directe au niveau Domain Admin. ...

Selon The Register (22 août 2025), un ancien développeur d’Eaton a été condamné aux États-Unis après avoir saboté les systèmes de l’entreprise via un « kill switch » logiciel installé avant son départ. • Faits principaux 🧑‍💻🚨 L’accusé, Davis Lu (55 ans), a été rétrogradé lors d’une restructuration puis a installé un mécanisme de sabotage interne qui se déclenchait si ses accès réseau étaient révoqués. Après son licenciement le 9 septembre 2019, le code s’est activé, surchargé les serveurs et perturbé la connexion pour des milliers d’employés à l’échelle mondiale, avec suppression de certaines données. ...

Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles. Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes. ...

L’article de Unit42 de Palo Alto Networks met en lumière une technique d’élévation de privilèges critique nommée BadSuccessor, ciblant les environnements Windows Server 2025. Cette technique exploite les comptes de service gérés délégués (dMSA) pour compromettre les domaines Active Directory. Les attaquants peuvent manipuler les attributs des dMSA pour se faire passer pour n’importe quel utilisateur de domaine, y compris les administrateurs de domaine, en créant des objets dMSA malveillants et en modifiant des attributs spécifiques pour simuler des migrations de comptes terminées. Cette vulnérabilité non corrigée nécessite uniquement des permissions standard d’utilisateur de domaine avec des droits d’accès spécifiques aux unités organisationnelles, ce qui la rend particulièrement dangereuse. ...

L’article, publié par Mandiant, analyse les risques critiques liés à l’intégration de VMware vSphere avec Active Directory, en particulier face aux attaques par ransomware. VMware vSphere est largement utilisé pour la virtualisation des infrastructures privées, mais l’intégration directe avec Microsoft Active Directory (AD), bien qu’elle simplifie la gestion, étend la surface d’attaque de l’AD au niveau de l’hyperviseur. Cette configuration peut transformer un compromis d’identifiants AD en une menace majeure pour l’infrastructure virtualisée. ...

Cet article de Google Cloud Threat Intelligence détaille l’attaque sophistiquée menée par le groupe de menace UNC3944, qui cible les environnements VMware vSphere dans les secteurs du commerce de détail, des compagnies aériennes et de l’assurance. L’attaque se déroule en cinq phases : Ingénierie sociale pour compromettre les opérations du help desk et obtenir les identifiants Active Directory. Prise de contrôle du plan de contrôle vCenter via la manipulation du chargeur de démarrage GRUB et le déploiement de Teleport C2. Vol d’identifiants hors ligne par manipulation de disques VM et exfiltration de NTDS.dit. Sabotage de l’infrastructure de sauvegarde par manipulation de groupes AD. Déploiement de ransomware au niveau ESXi utilisant vim-cmd et des binaires personnalisés. Les mesures d’atténuation techniques recommandées incluent : ...

L’article publié sur le blog de Google Cloud traite des risques de sécurité critiques dans les environnements VMware vSphere intégrés avec Microsoft Active Directory. L’analyse met en lumière comment des pratiques de configuration courantes peuvent créer des chemins d’attaque pour des ransomwares et compromettre l’infrastructure. Elle souligne que l’agent Likewise, utilisé pour l’intégration AD, manque de support MFA et de méthodes d’authentification modernes, transformant ainsi un compromis de crédentiel en scénario de prise de contrôle de l’hyperviseur. ...

Selon un article de The Register, Air Serbia, la compagnie aérienne nationale de Serbie, a été victime d’une cyberattaque qui a perturbé ses opérations internes. Le 10 juillet, des mémos internes ont informé le personnel que la distribution des bulletins de salaire de juin 2025 serait retardée pour des raisons de sécurité. Les employés ont été mis en garde contre l’ouverture d’emails suspects liés aux bulletins de salaire, et un avertissement a été émis concernant les emails utilisant leurs noms complets. Le 4 juillet, l’équipe informatique d’Air Serbia a commencé à alerter le personnel sur les attaques en cours, provoquant des perturbations temporaires dans les processus commerciaux. ...

L’article publié par Cameron Stish sur GuidePoint Security relate la découverte et l’impact de la vulnérabilité CVE-2025-33073, une attaque par réflexion Kerberos qui affecte les environnements Active Directory. La découverte a commencé par un accident de laboratoire lorsque l’auteur travaillait sur des techniques de relai Kerberos. En configurant un environnement de test avec un contrôleur de domaine et des services de certificats Active Directory, il a découvert une méthode permettant de contourner les protections existantes et d’accéder à des informations sensibles, comme le Security Accounts Manager (SAM). ...

L’article rapporte un incident de cybersécurité survenu chez NHS Professionals (NHSP), une organisation gouvernementale britannique de gestion de personnel pour le National Health Service. En mai 2024, des cybercriminels ont compromis les systèmes de NHSP. En utilisant des outils tels que WinRM et Cobalt Strike, les attaquants ont obtenu un accès au niveau de l’administrateur de domaine. Cela leur a permis d’exfiltrer la base de données Active Directory ainsi que les identifiants hachés de tous les utilisateurs. ...