:mastodon: decio<p>Tiens, il y a un PoC d'exploitation pour la vulnérabilité BadSuccessor 👀</p><p>BadSuccessor, est une technique d'escalade de privilèges dans Active Directory. Elle exploite l’attribut peu connu dMSA ( delegated Managed Service Account) pour injecter un objet malveillant. Si un utilisateur a juste les droits "CreateChild" sur une OU (Organizational Unit), il peut créer un compte spécial et s’en servir pour devenir Domain Admin. </p><p>( 91% des environnements d'entreprise analysés par Akamai sont vulnérables à cette attaque. )<br>👇 <br><a href="https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://www.</span><span class="ellipsis">akamai.com/blog/security-resea</span><span class="invisible">rch/abusing-dmsa-for-privilege-escalation-in-active-directory</span></a></p><p>Et maintenant, il y a un PoC fonctionnel côté offensive.<br>⬇️ <br><strong>SharpSuccessor</strong><br>Un outil .NET qui automatise le processus. Il permet à un utilisateur peu privilégié de :</p><ul><li><p>Créer un objet dMSA piégé dans une OU sur laquelle il a les droits "CreateChild"</p></li><li><p>Associer cet objet à sa propre session utilisateur</p></li><li><p>Et obtenir les privilèges de domaine admin<br>👇 <br><a href="https://github.com/logangoins/SharpSuccessor" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">github.com/logangoins/SharpSuc</span><span class="invisible">cessor</span></a></p></li></ul><p><strong>Mitigation</strong></p><blockquote><p>"Until a formal patch is released by Microsoft, defensive efforts should focus on limiting the ability to create dMSAs and tightening permissions wherever possible."</p></blockquote><ul><li><p>Limiter les droits "CreateChild" :<br>Réviser les permissions sur les OU et restreindre la création d’objets aux seuls comptes administratifs de confiance.</p></li><li><p>Surveiller les créations et modifications de dMSA :<br>Configurez des audits pour les événements AD pertinents (Event IDs 5136, 5137) afin de détecter toute activité suspecte liée aux dMSA.</p></li><li><p>Utiliser des outils de détection :<br>Employer des scripts comme Get-BadSuccessorOUPermissions.ps1 ( <a href="https://github.com/akamai/BadSuccessor" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="">github.com/akamai/BadSuccessor</span><span class="invisible"></span></a> ) pour identifier les comptes ayant des permissions à risque pour remédiation.</p></li></ul><p>[ dans les news infosec ]<br>⬇️ <br>"SharpSuccessor PoC Released to Weaponize Windows Server 2025 BadSuccessor Flaw"<br>👇 <br><a href="https://gbhackers.com/sharpsuccessor-poc-released/" rel="nofollow noopener" translate="no" target="_blank"><span class="invisible">https://</span><span class="ellipsis">gbhackers.com/sharpsuccessor-p</span><span class="invisible">oc-released/</span></a></p><p><a href="https://infosec.exchange/tags/CyberVeille" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>CyberVeille</span></a> <a href="https://infosec.exchange/tags/BadSuccessor" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>BadSuccessor</span></a> <a href="https://infosec.exchange/tags/PoC" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>PoC</span></a> <a href="https://infosec.exchange/tags/AD" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>AD</span></a> <a href="https://infosec.exchange/tags/activedirectory" class="mention hashtag" rel="nofollow noopener" target="_blank">#<span>activedirectory</span></a></p>