Эксперты компании Akamai
Ссылка скрыта от гостей
о серьезной уязвимости в Windows Server 2025, которая может позволить злоумышленникам захватывать учетные записи пользователей в Active Directory, включая административные. Уязвимость связана с новой функцией Delegated Managed Service Accounts (dMSA) и была использована в демонстрационной атаке, получившей название BadSuccessor.Суть проблемы — в механизме миграции dMSA, предназначенном для замены устаревших сервисных учетных записей. По данным исследователей, dMSA может быть использован для эскалации привилегий даже при стандартных настройках системы. Более того, во многих организациях (в 91% протестированных инфраструктур) обнаружились пользователи, не являющиеся администраторами, но обладающие правами, необходимыми для реализации этой атаки.
Изначально dMSA была введена как средство борьбы с атаками Kerberoasting — она ограничивает возможность аутентификации с помощью старых учетных данных и передает контроль службе LSA, используя новую dMSA-учетную запись. Однако при замене учетной записи dMSA наследует доступы старой записи, включая все связанные SID и группы, что создает критическую брешь в системе безопасности.
Атака эксплуатирует то, как Kerberos-атрибутивные сертификаты (PAC) обрабатываются при использовании dMSA. В результате злоумышленник может смоделировать процесс миграции учетной записи, получив таким образом доступ к полномочиям другой учетной записи — вплоть до уровня администратора домена.
Особенно тревожным является тот факт, что даже если dMSA не используется в домене, сама возможность её активации делает инфраструктуру уязвимой. Akamai настоятельно рекомендует администраторам AD пересмотреть текущие политики доступа и конфигурации новых сервисных функций в Windows Server 2025, чтобы предотвратить возможные компрометации.
