A Windows Server 2025 új, Delegált Szolgáltatásfiók (delegated Managed Service Account – dMSA) nevű funkciója egy olyan sebezhetőséget vezetett be, amely lehetővé teszi a támadók számára, hogy gyakorlatilag bármelyik felhasználói fiókot kompromittálják az Active Directory-ban (AD) – figyelmeztetett az Akamai biztonsági kutatója, Yuval Gordon.
A BadSuccessor névre keresztelt támadási módszert az új dMSA funkció teszi lehetővé, amely eredetileg a korábbi, jelszólopásos Kerberoasting támadások kivédésére lett kifejlesztve. A biztonsági rés nem igényel semmilyen speciális konfigurációt, az alapértelmezett beállításokkal is működik, és végrehajtása rendkívül egyszerű. A kutatás szerint a vizsgált rendszerek 91%-ában voltak olyan, nem rendszergazdai felhasználók, akik rendelkeztek olyan jogosultságokkal, melyek lehetővé teszik számukra a támadás végrehajtását.
A Microsoft dokumentációja szerint a dMSA-k célja, hogy kiváltsák a hagyományos szolgáltatásfiókokat. Amikor egy meglévő fiókot dMSA vált fel, a korábbi fiók jelszavas hitelesítése elérhetetlenné válik, és a hitelesítés a Local Security Authority (LSA) segítségével történik meg. A dMSA ugyanazokhoz az erőforrásokhoz fér hozzá, mint a lecserélt fiók, így potenciálisan teljes hozzáférést biztosíthat a támadónak az AD-n belül.
A probléma súlyosságát növeli, hogy széles körű hatással van a legtöbb AD-t használó szervezetre, különösen, ha nem rendszergazdai fiókok is képesek dMSA-k létrehozására, és így a támadás végrehajtására.
A Microsoft részéről egyelőre nem érkezett hivatalos javítás vagy biztonsági frissítés, így a rendszergazdáknak erősen javasolt átvizsgálniuk és korlátozniuk a dMSA-k létrehozására vonatkozó jogosultságokat, valamint szorosan nyomon követni a kapcsolódó fejleményeket.
Az Akamai kutatóinak felfedezése szerint a Windows Server 2025-ben használt Delegált Szolgáltatásfiókok (dMSA) Kerberos hitelesítési folyamatában rejlő sebezhetőség további súlyos biztonsági kockázatot jelent.
A probléma lényege, hogy a kulcselosztó központ (KDC) által kibocsátott jegy (ticket-granting ticket) egy speciális jogosultsági tanúsítványt (Privilege Attribute Certificate, PAC) tartalmaz. Ebben a PAC-ban egyszerre szerepel a dMSA azonosítója (SID), valamint az átvett, korábbi szolgáltatásfiók és a csoportjainak SID-je is.
Ez a jogosultságátadás lehetőséget ad arra, hogy a támadó szimulálja a dMSA migrációs folyamatát, így megszerezve bármely felhasználó, akár a domain adminisztrátorok jogosultságait is. Ez az egész tartomány biztonsági határainak átlépését eredményezheti, még akkor is, ha az adott szervezet nem használ dMSA-kat.
Yuval Gordon kiemelte, hogy a támadáshoz nem szükséges jogosultság a korábbi szolgáltatásfiókon, csupán írási engedély a dMSA attribútumaira, ami bármelyik dMSA lehet. Ha egy dMSA-t úgy jelölünk meg, hogy elődje egy felhasználó volt, a KDC ezt legitim migrációnak veszi, és automatikusan megadja a dMSA-nak az eredeti felhasználó összes jogosultságát, mintha valódi utódja lenne.
Az Akamai még 2025. április 1-jén jelentette a problémát a Microsoftnak. A vállalat a hibát mérsékelt súlyosságúnak minősítette, mivel a sikeres kihasználáshoz már meglévő, emelt szintű jogosultságok szükségesek a dMSA objektumokon, így közvetlenül nem igényel azonnali javítást. Ugyanakkor a javítás fejlesztése már folyamatban van.
Mivel nincs még elérhető azonnali megoldás, a szakértők azt javasolják, hogy a szervezetek emeljék a dMSA-k létrehozásához szükséges jogosultságokat, és szigorítsák az ezekhez kapcsolódó engedélyeket. Az Akamai egy PowerShell szkriptet is közzétett, amely képes felsorolni azokat a nem alapértelmezett fiókokat, amelyek jogosultak dMSA-k létrehozására, valamint azokat a szervezeti egységeket, ahol ez engedélyezett.
Yuval Gordon szerint ez a sérülékenység egy korábban ismeretlen, rendkívül súlyos visszaélési lehetőséget teremt, amely révén bármely felhasználó, aki rendelkezik CreateChild jogosultsággal egy szervezeti egységre (OU), képes lehet kompromittálni akár az egész domaint, és megszerezni a DCSync támadásokhoz használt Replicating Directory Changes jogosultságokhoz hasonló hatalmat.