HackerNews 编译,转载请注明出处:
研究人员发现Windows Server 2025存在权限提升漏洞,攻击者可借此攻陷Active Directory(AD)中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出:“该攻击利用Windows Server 2025新增的委托托管服务账户(dMSA)功能,在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。”
这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档,dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时,原账户密码认证会被阻断,请求将重定向至本地安全机构(LSA)使用dMSA认证,后者自动继承原账户在AD中的所有访问权限。
Akamai发现的关键问题在于:dMSA的Kerberos认证阶段,密钥分发中心(KDC)签发的票据授予凭证(TGT)中嵌入的特权属性证书(PAC)会同时包含dMSA自身的安全标识符(SID)、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程,可让KDC误判合法权限继承,进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。
Gordon解释:“攻击过程无需对被替代账户拥有任何权限,仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后,KDC就会自动授予该dMSA与原用户完全相同的权限。”
Akamai已于2025年4月1日向微软提交漏洞细节,微软将其评估为中等严重性,认为成功利用需攻击者已具备对dMSA对象的特定权限,故暂不发布紧急补丁。目前该公司正在开发修复程序。
鉴于漏洞暂无官方修复方案,建议企业采取以下措施:
- 限制创建dMSA账户的权限,特别是检查各组织单元(OU)的非默认主体权限。部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。加强AD对象属性修改行为的日志监控,重点关注事件ID 5136等关键日志项。
该漏洞的特殊性在于:即使攻击者仅拥有普通用户常见的CreateChild权限,也可通过操纵dMSA属性接管域内任意账户,其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示,dMSA功能设计初衷是帮助企业安全迁移遗留服务账户,但此次研究表明新安全功能本身可能成为攻击突破口。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
