Semperis enrichit DSP indicateurs permettant de détecter et d'atténuer les exploits de type « BadSuccessor ».
HOBOKEN, NJ — 9 juin 2025 — Semperis, leader dans le domaine de la sécurité des identités et de la cyber-résilience basées sur l'IA, a annoncé aujourd'hui l'ajout de nouvelles fonctionnalités de détection à sa plateforme Directory Services Protector DSP) afin de se prémunir contre« BadSuccessor », une technique d'escalade de privilèges à haut risque ciblant une fonctionnalité récemment introduite dans Windows Server 2025. Ces améliorations, développées en collaboration directe avec l'équipe de recherche d'Akamai qui a découvert la vulnérabilité, permettent aux organisations de détecter et de réagir aux tentatives d'exploitation avant que les attaquants ne puissent élever leurs privilèges et compromettre le domaine.
BadSuccessor exploite les comptes de service gérés délégués (dMSA), une nouvelle fonctionnalité de Windows Server 2025 destinée à renforcer la sécurité des comptes de service. Les chercheurs d'Akamai ont montré comment des pirates peuvent détourner les dMSA pour usurper l'identité d'utilisateurs disposant de privilèges élevés dans Active Directory (AD), notamment celle des administrateurs de domaine. Aucun correctif n'est disponible pour le moment.
Ce vecteur d'exploitation à haut risque met en évidence un défi de longue date en matière de sécurité des identités dans les entreprises : la gestion des comptes de service. Ces comptes disposent souvent de privilèges excessifs ou non surveillés, créant ainsi des voies d'attaque cachées qui se prêtent parfaitement à l'exploitation.
En réponse, Semperis a mis à jour sa DSP en y ajoutant un nouvel indicateur d'exposition (IOE) et trois indicateurs de compromission (IOC) afin de détecter tout comportement anormal des dMSA. Ces indicateurs aident les équipes de sécurité à repérer les délégations de droits excessives, les liens malveillants entre les dMSA et les comptes privilégiés, ainsi que les tentatives visant des comptes sensibles tels que KRBTGT.
« Semperis a agi rapidement pour transformer cette vulnérabilité en capacités de détection concrètes à l'intention des responsables de la sécurité, démontrant ainsi comment la collaboration entre chercheurs et fournisseurs peut avoir un impact rapide et significatif », a déclaré Yuval Gordon, chercheur en sécurité chez Akamai. « L'utilisation abusive des comptes de service est un sujet de préoccupation croissant, et cette vulnérabilité très médiatisée est un signal d'alarme. »
« Les comptes de service restent l’un des actifs les moins contrôlés, mais aussi les plus puissants, dans les environnements d’entreprise », a déclaré Tomer Nahum, chercheur en sécurité chez Semperis. « Cette collaboration avec Akamai nous a permis de combler rapidement les lacunes en matière de détection et d’offrir aux responsables de la sécurité une visibilité sur un domaine extrêmement complexe d’Active Directory que les attaquants continuent d’exploiter. »
Cette vulnérabilité concerne toute organisation disposant d'au moins un contrôleur de domaine fonctionnant sous Windows Server 2025. Même un seul contrôleur de domaine mal configuré peut faire peser un risque sur l'ensemble de l'environnement. En attendant la publication d'un correctif, il est vivement recommandé aux organisations de vérifier les autorisations dMSA et de surveiller tout signe d'utilisation abusive à l'aide d'outils de détection avancés tels que Semperis DSP.
Pour en savoir plus sur les fonctionnalités de Semperis visant à limiter les risques liés aux « BadSuccessors », consultez le blog : https://www.semperis.com/blog/badsuccessor-how-to-detect-mitigate-dmsa-privilege-escalation/
À propos de Semperis
Semperis protège les services d'identité critiques des entreprises pour les équipes de sécurité chargées de défendre les environnements hybrides et multicloud. Spécialement conçue pour sécuriser les environnements d'identité hybrides, notamment Active Directory, Entra ID et Okta, la technologie basée sur l'IA de Semperis protège plus de 100 millions d'identités contre les cyberattaques, les violations de données et les erreurs opérationnelles.
Dans le cadre de sa mission visant à promouvoir le bien, Semperis propose diverses ressources à la communauté cybernétique, notamment laconférence primée Hybrid Identity Protection (HIP),le podcast HIP et des outils gratuits de sécurité des identités. Purple Knight et Forest Druid. Semperis est une société internationale privée dont le siège social est situé à Hoboken, dans le New Jersey. Elle soutient les plus grandes marques et agences gouvernementales du monde entier et compte des clients dans plus de 40 pays.
Pour en savoir plus :https://www.semperis.com
Suivez-nous :Blog/ LinkedIn / X / Facebook /YouTube
Contact médias:
Bill Keeler
Directeur principal, Relations publiques et communications
Semperis
billk@semperis.com
