BadSuccessor cible les «  delegated Managed Service Accounts  » (dMSA), une nouvelle fonctionnalité de Windows Server 2025 censée renforcer la sécurité des comptes de service. Les chercheurs d’Akamai ont démontré que des acteurs malveillants pouvaient détourner les dMSA pour se faire passer pour des utilisateurs à haut privilège dans Active Directory, y compris les administrateurs de domaine, et aucun correctif n’est actuellement disponible.
Cette technique illustre une faiblesse historique dans la sécurité des identités en entreprise  : la gestion des comptes de service. Ces derniers disposent souvent de privilèges excessifs et peu surveillés, créant ainsi des points d’entrée invisibles pour les attaquants.
Pour y faire face, Semperis a mis à jour sa plateforme DSP avec un nouvel «  indicateur d’exposition  » (Indicator of Exposure - IOE) et trois «  indicateurs de compromission  » (Indicators of Compromise - IOCs) permettant d’identifier les comportements anormaux des dMSA. Ces indicateurs aident les équipes de sécurité à repérer les droits de délégation excessifs, les liaisons malveillantes entre comptes dMSA et comptes à privilèges, ainsi que les tentatives de ciblage de comptes sensibles comme KRBTGT.

La vulnérabilité touche toute organisation ayant au moins un contrôleur de domaine sous Windows Server 2025. Un seul DC mal configuré peut mettre en péril l’ensemble de l’environnement. Dans l’attente d’un correctif, Semperis recommande d’auditer en priorité les droits des dMSA et de mettre en place une surveillance active avec des outils comme DSP.