Une vulnérabilité d’escalade de privilège dans Windows Server 2025 peut être utilisée par les attaquants pour compromettre tout utilisateur dans Active Directory (AD), y compris les administrateurs de domaine.
“Le [“BadSuccessor”] Attack exploite la fonction déléguée du compte de service géré (DMSA) qui a été introduit dans Windows Server 2025, fonctionne avec la configuration par défaut et est triviale à implémenter », a averti le chercheur d’Akamai Yuval Gordon.
Technique d’attaque de malfaisance expliquée
La fonction exploitable a été introduite pour aider les organisations à remplacer les comptes de services non gérés hérités utilisés par les applications et les systèmes par des comptes de services gérés plus sécurisés.
Le processus de migration couple un compte hérité et un DMSA et rend ce dernier hériter de ses autorisations, mais les chercheurs d’Akamai ont découvert que cet héritage automatique des privilèges compose sur un seul attribut, sur lequel le centre de distribution des clés s’appuie pour déterminer le compte hérité que le DMSA remplace.
Avec cette information à l’esprit, ils ont exploré plusieurs avenues d’attaque.
Ils ont d’abord essayé de migrer les autorisations d’un compte d’utilisateur qu’ils contrôlaient vers un nouveau DMSA qu’ils ont créé et authentificatif comme cet utilisateur, mais ont échoué car seuls les administrateurs de domaine peuvent effectuer le migrateadServiceAccount rootdse opération.
Ensuite, ils ont essayé de définir un attribut sur l’objet DMSA pour le relier au compte remplacé et une valeur qui indique que la migration a été terminée, et cela a fonctionné!
Pour ce faire, ils ont d’abord dû créer un nouveau DMSA, et ils ont découvert que la possibilité de créer de nouveaux DMSA n’est pas réservée aux groupes Active Directory privilégiés: tout utilisateur qui a le Créer des manageaux délégués par le SPSE ou «Créer tous les objets enfants» sur toute unité organisationnelle du domaine peut les générer.
Ainsi, ils ont trouvé une unité organisationnelle avec des utilisateurs imprévus avec des autorisations «Créer tous les objets enfants» et les ont utilisés pour créer un nouveau DMSA. Ensuite, ils ont réglé le MSDS-ManagedAccountprecedByLink Attribut à Link n’importe lequel Compte utilisateur ou informatique au DMSA et définissez la valeur «Migration complète», et voilà: le DMSA créé «a hérité» des autorisations du compte remplacé, sans qu’il ait des autorisations sur ce compte spécifique.
Enfin, ils ont utilisé l’outil Rubeus pour demander un billet d’octroi de billets au Clean Distribution Center (KDC), qui leur a permis de demander des jetons d’accès à son service d’octroi de billets (TGS).
“Avec seulement deux changements d’attribut, un nouvel objet humble est couronné le successeur – et le KDC ne remet jamais en question la lignée; si le lien est là, les privilèges sont accordés. Nous n’avons pas changé une seule abonnement de groupe, n’avons pas augmenté de compte existant et n’a pas trébuché sur les alertes d’escalade traditionnelles d’escalade”, a noté Gordon.
Cette technique permet efficacement à tout utilisateur qui contrôle un objet DMSA pour obtenir le contrôle de l’ensemble du domaine.
Que faire jusqu’à ce qu’un patch soit mis à disposition?
“Ce problème affecte probablement la plupart des organisations qui s’appuient sur la publicité. Dans 91% des environnements que nous avons examinés, nous avons trouvé des utilisateurs en dehors du groupe d’administrateurs de domaine qui avait les autorisations requises pour effectuer cette attaque”, a noté Gordon, et a ajouté que la fonctionnalité DMSA peut être abusée même si le domaine de l’organisation ne l’utilise pas.
«Tant que le [dMSA] La fonctionnalité existe, qu’il fait dans n’importe quel domaine avec au moins un contrôleur de domaine Windows Server 2025 (DC), il devient disponible [to attackers]. “
Les chercheurs ont informé Microsoft de leur découverte et la société travaille sur un correctif, mais en attendant, il est conseillé aux organisations de limiter uniquement l’autorisation de créer des DMSA aux administrateurs de confiance. (Akamai a publié un script que les organisations peuvent utiliser des directeurs d’identité qui devraient «perdre» cette autorisation.)
Les défenseurs de l’entreprise devraient également commencer à enregistrer et à adorer les événements de création DMSA, la surveillance des modifications des attributs et le suivi des événements d’authentification DMSA, ont conseillé les chercheurs.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
