Biuletyn Threat Intelligence Nr 5: nowy atak BadSuccessor w Windows Serwer 2025

Podsumowanie

Badacz bezpieczeństwa z Akamai, Y. Gordon, poinformował o odkryciu poważnej podatności w Windows Server 2025, która dotyczy funkcji Delegated Managed Service Accounts (dMSA) [1]. Umożliwia ona eskalację uprawnień w Active Directory w sposób potencjalnie zagrażający wszystkim użytkownikom w domenie. W ataku wykorzystywana jest nowa technika nazwana BadSuccessor, polegająca na symulowaniu migracji, co pozwala ominąć mechanizmy uwierzytelnienia i nadzoru [2].

Opis podatności BadSuccessor

Podatność związana z dMSA pozwala atakującym na przejęcie dowolnego użytkownika w domenie poprzez nadużycie procesu migracji konta serwisowego. Atakujący mogą wykorzystać uprawnienia do modyfikacji atrybutów dMSA, aby uzyskać pełne uprawnienia konta, które dMSA zastępuje. Potencjalny przebieg ataku obejmuje:

1. Utworzenie nowego dMSA w dowolnej jednostce organizacyjnej (OU);
2. Ustawienie atrybutów msDS-ManagedAccountPrecededByLink i msDS-DelegatedMSAState, aby symulować zakończoną migrację;
3. Autoryzowanie jako dMSA na uprawnieniach zastąpionego konta.

Kluczowy jest drugi krok. Domyślnie tylko administratorzy domeny mogą przeprowadzić migrację konta z użyciem migrateADServiceAccount. Jednakże zabezpieczenie to nie jest skuteczne, gdyż same atrybuty wskazujące na zakończony proces migracji nie są chronione. Taka „symulowana migracja” skutkuje przyznaniem przez KDC wszystkie uprawnienia pierwotnego użytkownika dla dMSA, tak jakbyśmy byli jego prawowitym następcą.

Atak jest stosunkowo łatwy do przeprowadzenia i umożliwia przejęcie kont administratorów o najwyższych uprawnieniach. BadSuccessor prawdopodobnie zagraża większości organizacji wykorzystujących Active Directory. W badanej próbce, 91% środowisk miało konta użytkowników niebędących administratorami, którzy mieli wystarczające uprawnienia do przeprowadzenia skutecznych ataków.

dMSA nie musi być aktywnie wykorzystywane

Powyżej opisano scenariusz, w którym atakujący może przejąć kontrolę nad istniejącym dMSA. Jednakże nawet środowiska niewykorzystujące dMSA nie są bezpieczne. Gdy użytkownik tworzy obiekt w usłudze Active Directory (AD), ma pełne uprawnienia do wszystkich jego atrybutów. Dlatego jeżeli atakujący może utworzyć nowy dMSA, może też naruszyć bezpieczeństwo całej domeny.

Zazwyczaj dMSA jest tworzony za pomocą polecenia cmdlet New-ADServiceAccount i przechowywany w kontenerze Managed Service Accounts. Choć użytkownicy mogą uzyskać dostęp do tego kontenera, domyślnie uprawnienia do niego mają tylko wbudowane uprzywilejowane grupy usługi Active Directory. Jednak dMSA nie są ograniczone wyłącznie do ich kontenera. Konta te można tworzyć również w dowolnej, normalnej jednostce organizacyjnej (OU). Każdy użytkownik, który ma uprawnienie Create msDS-DelegatedManagedServiceAccount lub Create all child objects w dowolnej jednostce organizacyjnej, może utworzyć dMSA.

Zalecane działania

Microsoft nie wydał jeszcze poprawek. Dlatego zaleca się niezwłoczne ograniczenie możliwości tworzenia oraz modyfikowania dMSA wyłącznie do wąskiej grupy zaufanych administratorów. Warto też przeprowadzić szerszy hardening uprawnień.

Zaleca się ponadto monitorowanie: zarówno komunikatów ze strony Microsoft, gdyż atak ten wykorzystuje nowy wektor, jak również informacji o aktualizacjach. Te należy zainstalować możliwie niezwłocznie po opublikowaniu.

Ponadto firma Akamai opublikowała w GitHubskrypt programu PowerShell [3]. Pozwala on na wyliczenie wszystkich podmiotów inne niż domyślne, zdolnych są do tworzenia dMSA, a także wyświetlić listę jednostek organizacyjnych (OU), w których podmioty mają takie uprawnienia.

 

Opracowanie: Mateusz Rakowski