BadSuccessor 漏洞究竟有多严重？Akamai 和微软意见不一

Akamai 公司的研究员 Yuval Gordon 提到，微软安全响应中心证实了该漏洞的有效性但将其评级为“中危”级别，并表示将“在未来”修复。Gordon 发表博客文章（包含概念验证），说明了如何将少有人知的服务账号迁移特性转变为严重的安全风险并提到，“虽然我们感谢微软的回应，但我们不认可对它的严重性评估”。

Gordon 提到，该漏洞位于被分配的服务管理账号 (dMSAs) 中，它是在Server 2025 中引入的一个全新类。dMSAs 旨在取代笨重的遗留服务账号，但Gordon 发现它们继承了原始账号所拥有的权限。

他发布技术文档，说明了低权限用户如何能够一步步作为合法继承者创建一个新的 dMSA。Gordon 表示，“这就是域控制器将我当作合法继承者对待的所有要求。谨记：不涉及群成员变更、没有触及与管理员组以及不需要将可疑的 LDAP 写入真实的权限账号。只需两个属性变更，新的对象就会成为继承者，而KDC永远不会质疑这种“血统”；如果存在链接，那么就会获得这些权限。我们没有更改任何一个组成员，没有提权任何现有账号，也没有触发任何传统的提权警报。”

研究员调查客户遥测数据后发现，在91%的环境中，至少有一个非管理员用户已经在组织机构单元层面拥有问题重重的 Create-Child 权限。Gordon 注意到这些权限足以创建一个dMSA，但微软认为攻击者需要“提权访问的特定权限”，因此评级更低。由于Windows Server 2025 域控制器默认启用 dMSA 支持，因此Gordon 认为组织机构只通过将2025 DC 添加到现有的活动目录中，就会继承这一风险。

他表示，促使Akamai 在4月1日通知微软后但最终公开该漏洞的原因是，微软表示不会立即打补丁。Gordon 表示，“他们将它评级为中危漏洞，并表示目前不满足立即打补丁的门槛。”他指出，该漏洞引入了一个此前未知的且影响巨大的绝对路径，使得在OU上拥有 CreatChild的任意用户很有可能攻陷该域名中的任何用户，“并获得类似Replicating Directory Changes 的权限，执行 DCSync 攻击。另外，我们未发现针对 CreateChild 权限，或者更确切地说，适用于 dMSA的CreateChild 的行业实践或工具，这种情况非常令人担忧。我们认为它加剧了漏洞的隐秘性和严重性。”

这种在补丁发布前披露漏洞的行为又引发了长久以来的负责任披露问题。在社交媒体上，一些研究员批评 Akamai 公司在补丁可用之前发布完整攻击详情的行为，而一些传统黑客则认为微软历来存在分类错误以及拒绝修复严重漏洞的问题。

在官方补丁未发布之前，Akamai 公司已发布检测查询、日志指南以及脚本，来定位可创建 dMSA 的责任人。