Один атрибут — и вы админ: новая функция безопасности Microsoft оказалась троянским конём
dMSA раздаёт привилегии, как конфеты на детском утреннике.
В Windows Server 2025 обнаружена серьёзная уязвимость , позволяющая злоумышленникам повысить привилегии и получить доступ к любому пользователю в Active Directory. Проблема связана с новой функцией Delegated Managed Service Accounts (dMSA), которая была внедрена как мера противодействия Kerberoasting-атакам. Однако именно она стала основой для метода атаки, получившего название BadSuccessor.
Функция dMSA позволяет заменять устаревшие сервисные учётные записи на новые, с повышенным уровнем безопасности. Согласно документации Microsoft, dMSA блокирует аутентификацию с использованием пароля прежней учётной записи и перенаправляет запрос на Local Security Authority (LSA), предоставляя dMSA все права, которыми обладал её предшественник. При этом dMSA автоматически узнаёт устройства, на которых применялась прежняя учётная запись, и расширяет своё влияние на них.
Исследование, проведённое специалистами из Akamai, показало , что почти в 91% проверенных инфраструктур присутствуют пользователи вне группы доменных администраторов, обладающие нужными правами для осуществления атаки. Особенность уязвимости заключается в том, что в процессе аутентификации по Kerberos служба KDC встраивает в билеты dMSA не только собственный SID, но и идентификаторы учётной записи, которую он заменил, а также всех её групп.
Это создаёт лазейку: при помощи имитации миграции можно передать dMSA-полномочия любой другой учётной записи, в том числе доменных администраторов. И при этом совершенно не требуется доступ к самой исходной учётной записи — достаточно права записи атрибутов в любом dMSA. После подмены связи в атрибутах объект dMSA автоматически получает все полномочия, как если бы действительно происходила легитимная миграция.
Несмотря на потенциально катастрофические последствия, Microsoft присвоила уязвимости умеренный уровень риска и не выпустила немедленного обновления, ссылаясь на необходимость наличия специальных прав для эксплуатации. Однако обновление уже находится в разработке.
До выхода официальной заплатки организациям рекомендовано ограничить возможность создания dMSA и ужесточить связанные права доступа. Akamai также опубликовала PowerShell-скрипт , позволяющий выявить всех субъектов, обладающих правами на создание dMSA, а также перечислить организационные единицы, в которых это возможно.
По оценке команды, уязвимость предоставляет скрытый, ранее неизвестный путь к компрометации любого пользователя в домене и достижению уровня доступа, сопоставимого с правами DCSync, часто используемыми при атаках на контроллеры домена.