什么是“BadSuccessor”漏洞?
BadSuccessor是Akamai安全研究员Yuval Gordon于2025年5月发现并命名的一个严重权限提升漏洞,影响Windows Server 2025中引入的委派托管服务账户(dMSA)功能。该漏洞允许攻击者通过模拟账户迁移过程,获取目标用户(包括域管理员)的全部权限,而无需修改原始账户或其组成员关系。
BadSuccessor 漏洞的工作原理
dMSA旨在简化服务账户的管理,允许新账户继承旧账户的权限。然而,攻击者可以创建一个新的dMSA,并设置两个关键属性:
- msDS-ManagedAccountPrecededByLink:指向目标用户账户。
- msDS-DelegatedMSAState:设置为“2”,表示迁移已完成。
通过这种方式,Key Distribution Center(KDC)会认为这是一次合法的迁移,并向新的dMSA授予目标用户的全部权限。攻击者随后可以使用该dMSA请求Kerberos票证,实质上以目标用户的身份操作系统。
值得注意的是,该攻击不需要对目标用户账户的任何权限,只需在某个组织单位(OU)中拥有创建对象的权限即可。Akamai的研究显示,在91%的受评估环境中,非管理员用户就具备执行此攻击所需的权限。
当前的风险与影响
默认配置下即可被利用:即使组织未主动使用dMSA功能,只要域中存在至少一个运行Windows Server 2025的域控制器,漏洞就处于可被利用状态。
广泛的权限提升路径:攻击者可以从低权限账户出发,最终获取域管理员权限,完全控制Active Directory域。
无官方补丁:微软已确认该漏洞,但将其评估为“中等”严重性,尚未发布官方补丁。因此,组织需要采取其他主动措施来降低风险。
缓解措施与建议
限制dMSA的创建权限:确保只有受信任的管理员账户具有在OU中创建dMSA的权限。
审查OU的访问控制列表(ACL):定期检查并限制非必要的创建和修改权限,尤其是对敏感属性如msDS-ManagedAccountPrecededByLink和msDS-DelegatedMSAState的写权限。
部署监控与检测机制:使用SIEM系统监控以下事件ID,以识别潜在的攻击行为:
- 5137:新对象的创建(例如dMSA)。
- 5136:对象属性的修改。
- 4769:Kerberos服务票证请求。
使用检测工具:Akamai提供了一个PowerShell脚本Get-BadSuccessorOUPermissions.ps1,可用于识别哪些用户具有创建dMSA的权限,以及哪些OU可能受到影响。该工具可在其GitHub仓库中找到。
BadSuccessor漏洞揭示了新功能在设计和实现中的潜在安全风险。在微软发布官方补丁之前,组织应主动审查和强化Active Directory的权限设置,部署有效的监控机制,及时发现和阻止潜在的攻击行为。
更多详细信息和技术细节,请参考Akamai的官方博客。https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory