Обнаружена серьёзная уязвимость в Windows Server 2025, которая даёт злоумышленникам возможность повысить свои права и получить полный контроль над любым аккаунтом в Active Directory (AD).
«Атака основана на функции делегированных управляемых сервисных аккаунтов (dMSA), которая впервые появилась в Windows Server 2025. Она включена по умолчанию и реализована очень просто», — рассказал Юваль Гордон, эксперт по безопасности из Akamai, поделившийся с нами своим отчётом.
«Это затрагивает большинство компаний, использующих AD. В 91% проанализированных сред были найдены пользователи, не состоящие в группе доменных администраторов, но обладающие достаточными правами для проведения этой атаки.»
Главная особенность атаки — использование нового механизма Delegated Managed Service Accounts (dMSA), созданного для упрощённого перехода с устаревших сервисных аккаунтов. Эта функция была введена в Windows Server 2025, чтобы защитить систему от атак типа Kerberoasting.
Метод атаки получил кодовое имя BadSuccessor от компании, занимающейся веб-инфраструктурой и кибербезопасностью.
BadSuccessor
«dMSA позволяет создавать автономные аккаунты или заменять ими стандартные сервисные аккаунты», — объясняет документация Microsoft. «Когда dMSA берёт на себя роль существующего аккаунта, аутентификация по паролю старого аккаунта становится недоступной.»
«Запросы направляются в Local Security Authority (LSA) для проверки через dMSA, который получает те же права в AD, что и заменяемый аккаунт. При миграции dMSA автоматически определяет устройства для работы сервисного аккаунта и переносит все настройки с предыдущих аккаунтов.»
Суть проблемы, выявленной Akamai, в том, что при аутентификации dMSA через Kerberos в Privilege Attribute Certificate (PAC) — сертификате прав внутри билета (TGT) от центра распределения ключей (KDC), содержатся SID самого dMSA, заменённого сервисного аккаунта и всех групп, в которые входил старый аккаунт.
Такой перенос прав между аккаунтами позволяет инсценировать процесс миграции dMSA и получить права любого пользователя, включая доменных администраторов. Это ведёт к полномасштабному взлому домена, даже если dMSA в среде Windows Server 2025 не используется.
«Особенность этого метода в том, что не нужен доступ к заменённому аккаунту», — поясняет Гордон. «Достаточно иметь права на изменение атрибутов любого dMSA.»
«Если мы указываем dMSA в качестве наследника конкретного пользователя, KDC воспринимает это как законную миграцию и автоматически переносит все права исходного пользователя dMSA — словно мы его официальные преемники.»
Akamai сообщила Microsoft об уязвимости 1 апреля 2025 года. Компания оценила её как среднеопасную и пока не признала критичной для срочного исправления, пояснив, что злоумышленнику всё равно нужны определённые права на dMSA, которые уже означают частичное повышение привилегий. Тем не менее, работа над патчем уже идёт.
Пока исправления нет, организациям советуют ограничить создание dMSA и ужесточить права доступа в соответствующих местах. Akamai также выпустила скрипт для PowerShell, который помогает находить всех пользователей с правами на создание dMSA и указывает подразделения (OU), где эти права заданы.
«Эта уязвимость открывает новый, ранее неизвестный путь для атак: любой пользователь с правами CreateChild для OU может взять под контроль любого юзера в домене и получить привилегии, схожие с правами Replicating Directory Changes, используемыми в атаках DCSync», — подытоживает Гордон.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru