Секунда — и ты админ домена. Почему Microsoft не может защитить собственный Windows Server

Akamai DEF CON Windows Kerberos BadSuccessor
Секунда — и ты админ домена. Почему Microsoft не может защитить собственный Windows Server
Akamai DEF CON Windows Kerberos BadSuccessor

Microsoft выпустила исправление, которое ничего не исправило.

image

На конференции DEF CON 2025 специалисты Akamai представили исследование критической уязвимости в Windows Server 2025 под названием BadSuccessor (CVE-2025-53779), которая позволяет пользователям с низкими привилегиями моментально повысить уровень доступа до Domain Admin.

Проблема заключалась в механизме обработки нового типа учётных записей — делегированных управляемых сервисных аккаунтов (delegated Managed Service Accounts, dMSA). Уязвимость позволяла злоумышленнику связать контролируемый dMSA с любой учётной записью в Active Directory , включая защищённые и высокопривилегированные, после чего служба распределения ключей (KDC) начинала воспринимать dMSA как «наследника» цели, включая её полномочия в PAC и передавая ключи Kerberos.

Особую опасность создавало то, что для эксплуатации было достаточно управлять любой организационной единицей (OU) в домене. Злоумышленник мог создать dMSA в такой OU и установить ссылку на целевую учётную запись без использования сторонних инструментов или изменения групповых политик. При этом KDC полностью принимал такую конфигурацию, не проверяя достоверность связи.

Через несколько дней после публикации Akamai компания Microsoft присвоила уязвимости идентификатор CVE-2025-53779 и выпустила исправление. В обновлении не был заблокирован сам атрибут связи, но были внесены изменения в компонент kdcsvc.dll, из-за чего служба KDC начала проверять взаимность связи между dMSA и целевой учётной записью. Теперь, чтобы получить билет Kerberos, dMSA и его «предшественник» должны ссылаться друг на друга, как это происходит при реальной миграции учётной записи через migrateADServiceAccount. Односторонняя привязка, которая ранее позволяла мгновенно повысить привилегии, больше не работает. Однако, как выяснили исследователи, это не означает, что метод полностью нейтрализован.

Несмотря на устранение прямого пути эскалации, техника BadSuccessor продолжает представлять опасность, поскольку ядро уязвимости — отсутствие контроля за атрибутом связи — по-прежнему актуально. Это позволяет использовать BadSuccessor в двух новых сценариях, представляющих интерес для атакующих и угрозу для защищаемой инфраструктуры.

Первый сценарий — это захват привилегий и учетных данных (альтернатива «теневым» учетным данным). Если злоумышленник уже имеет контроль над dMSA и целевой учётной записью, он может связать их друг с другом, получить Kerberos-билет для dMSA и тем самым действовать от имени жертвы, при этом используя иную сущность. Такой способ позволяет избежать подозрительной активности от имени контролируемой учётки и скрыться от систем мониторинга. Кроме того, ключи Kerberos извлекаются быстрее и с меньшими затратами, чем при атаках Kerberoasting , поскольку не требуется добавлять SPN или подбирать пароли.

Второй сценарий — это альтернатива DCSync для извлечения ключей в уже скомпрометированных доменах. В таких условиях злоумышленник может использовать dMSA для получения билетов с ключами любых учётных записей без обращения к контроллеру домена с репликационными запросами. Это снижает вероятность обнаружения, поскольку стандартные сигнатуры DCSync на такой подход не срабатывают.

Для обнаружения потенциального использования BadSuccessor после установки патча рекомендуется включить аудит изменений атрибутов dMSA и контролировать события, связанные с получением паролей dMSA или аномальной связью активных пользователей с dMSA. Подозрительными считаются ситуации, когда ранее отключённая учётная запись вдруг становится привязанной к новому dMSA, а также повторяющиеся обращения к паролю dMSA за короткий период.

Меры защиты включают установку исправления для CVE-2025-53779 на все контроллеры домена Windows Server 2025, а также пересмотр и ограничение прав доступа к OU, контейнерам и объектам dMSA. Только администраторы уровня Tier 0 должны иметь возможность управлять dMSA и их атрибутами миграции.

Специалисты подчеркивают, что проблема BadSuccessor — это не просто недостаток, а уязвимая архитектурная техника, которая может сохранять свою актуальность даже после устранения конкретного эксплойта. Как и в случае со многими другими уязвимостями AD, закрытие одной лазейки не означает, что злоумышленники не найдут другой путь на основе тех же механизмов.