MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Semperis, leader de la cyber-résilience basée sur l’identité, annonce aujourd’hui l’ajout de nouvelles capacités de détection à sa plateforme Directory Services Protector (DSP) afin de se prémunir contre BadSuccessor, une technique d’élévation de privilèges à haut risque exploitant une fonctionnalité récemment introduite dans Windows Server 2025. Développées en collaboration directe avec les équipes de recherche d’Akamai à l’origine de la découverte, ces améliorations permettent aux entreprises de détecter et contrer les tentatives d’exploitation avant que les attaquants ne parviennent à compromettre le domaine.
BadSuccessor cible les « delegated Managed Service Accounts » (dMSA), une nouvelle fonctionnalité de Windows Server 2025 censée renforcer la sécurité des comptes de service. Les chercheurs d’Akamai ont démontré que des acteurs malveillants pouvaient détourner les dMSA pour se faire passer pour des utilisateurs à haut privilège dans Active Directory, y compris les administrateurs de domaine, et aucun correctif n’est actuellement disponible.
Cette technique illustre une faiblesse historique dans la sécurité des identités en entreprise : la gestion des comptes de service. Ces derniers disposent souvent de privilèges excessifs et peu surveillés, créant ainsi des points d’entrée invisibles pour les attaquants.
Pour y faire face, Semperis a mis à jour sa plateforme DSP avec un nouvel « indicateur d’exposition » (Indicator of Exposure - IOE) et trois « indicateurs de compromission » (Indicators of Compromise - IOCs) permettant d’identifier les comportements anormaux des dMSA. Ces indicateurs aident les équipes de sécurité à repérer les droits de délégation excessifs, les liaisons malveillantes entre comptes dMSA et comptes à privilèges, ainsi que les tentatives de ciblage de comptes sensibles comme KRBTGT.
« Semperis a su transformer très vite cette faille en outils de détection concrets pour les équipes de défense, preuve de l’efficacité d’une vraie collaboration entre chercheurs et éditeurs », commente Yuval Gordon, chercheur en cybersécurité chez Akamai. « L’exploitation des comptes de service devient un enjeu critique, et cette vulnérabilité en est une illustration frappante. »
« Les comptes de service sont parmi les ressources les plus puissantes, mais aussi les moins encadrées des environnements d’entreprise », explique Tomer Nahum, chercheur en cybersécurité chez Semperis. « Cette collaboration avec Akamai nous a permis de combler très vite un angle mort de détection, et d’apporter une visibilité nouvelle sur une zone complexe et vulnérable d’Active Directory. »
La vulnérabilité touche toute organisation ayant au moins un contrôleur de domaine sous Windows Server 2025. Un seul DC mal configuré peut mettre en péril l’ensemble de l’environnement. Dans l’attente d’un correctif, Semperis recommande d’auditer en priorité les droits des dMSA et de mettre en place une surveillance active avec des outils comme DSP.
