Windows Server 2025 漏洞(BadSuccessor)暴露 Active Directory 帐户

admin 2025年5月26日09:26:17评论32 views字数 887阅读2分57秒阅读模式
Windows Server 2025 漏洞(BadSuccessor)暴露 Active Directory 帐户
Windows Server 2025 漏洞(BadSuccessor)暴露 Active Directory 帐户

Windows Server 2025中发现了一个严重漏洞,威胁行为者可以利用该漏洞提升权限并访问 Active Directory 中的任意用户帐户。该漏洞存在于新推出的委托托管服务帐户 (dMSA) 功能中,该功能最初是为了抵御 Kerberoasting 攻击而实施的。讽刺的是,这项功能如今却成为了一种名为BadSuccessor 的新型攻击技术的基础。

dMSA 功能旨在用更安全的替代方案取代旧版服务帐户。根据微软的文档,dMSA 会阻止使用原始帐户密码进行身份验证,并将身份验证请求重定向到本地安全机构 (LSA),从而授予 dMSA 先前分配给其前任帐户的所有权限。此外,dMSA 还会自主识别使用旧版帐户的设备,并相应地扩展其影响力。

Akamai的研究表明,在近 91% 的审计基础设施中,域管理员组以外的用户拥有足够的权限来实施攻击。该漏洞的危险在于 Kerberos身份验证的处理方式:在此过程中,密钥分发中心 (KDC) 不仅会在票据中嵌入 dMSA 的安全标识符 (SID),还会嵌入被替换帐户及其关联组的标识符。

这会产生一个漏洞:通过模拟迁移,攻击者可以将 dMSA 权限转移到任何其他帐户,包括拥有域管理员权限的帐户。至关重要的是,此操作无需访问原始帐户,只需拥有对任何 dMSA 对象属性的写入权限即可。一旦此链接被更改,dMSA 将立即继承所有权限,就像发生了合法迁移一样。

尽管该漏洞可能造成灾难性后果,但微软仍将其严重程度评级定为中等,并表示利用该漏洞需要特定权限,因此尚未立即发布补丁。不过,目前修复程序正在开发中。

在此期间,建议各组织限制 dMSA 的创建,并加强与其使用相关的访问控制。Akamai 还发布了一个PowerShell脚本,可帮助识别所有有权创建 dMSA 的实体,以及允许创建 dMSA 的组织单位。

据研究团队称,此漏洞暴露了一条以前未知的隐蔽途径,可以入侵域中的任何用户帐户,授予相当于 DCSync 权限的访问权限——通常在针对域控制器的攻击中利用。

原文始发于微信公众号(Ots安全):Windows Server 2025 漏洞(BadSuccessor)暴露 Active Directory 帐户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日09:26:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows Server 2025 漏洞(BadSuccessor)暴露 Active Directory 帐户https://cn-sec.com/archives/4096583.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息