BadSuccessor漏洞:未修复的微软Active Directory攻击可导致域控沦陷
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
研究人员发现Windows Server 2025的dMSA功能存在安全漏洞,低权限用户可通过修改dMSA账户属性提权,控制整个域。Akamai建议企业限制dMSA创建权限并监控相关行为。
🎯
关键要点
- 研究人员发现Windows Server 2025的dMSA功能存在安全漏洞,低权限用户可通过修改dMSA账户属性提权。
- 该漏洞允许攻击者控制整个域,危害任意用户,最终导致域控系统沦陷。
- Akamai研究员指出,91%的检测环境中存在具备攻击所需权限的用户。
- dMSA功能原本是为防范Kerberoasting攻击而设计,但存在不严格的验证机制。
- 微软将该问题评定为中等严重性,认为无需紧急修复,但Akamai认为行业标准未将此视为关键风险。
- 攻击者可通过修改dMSA账户的属性诱使KDC误判服务账户已完成迁移,掌控整个域。
- 即使未创建dMSA账户,攻击者仍可利用OU中的CreateChild权限创建dMSA账户。
- 攻击者可通过修改属性获取目标账户的所有权限和加密凭证,甚至获取域内所有用户和计算机的密钥。
- Akamai建议企业限制dMSA创建权限并监控相关行为,以防止此类攻击。
❓
延伸问答
BadSuccessor漏洞是什么?
BadSuccessor漏洞是指低权限用户通过修改dMSA账户属性,能够提权并控制整个域的安全漏洞。
该漏洞对企业安全有什么影响?
该漏洞可能导致攻击者控制整个域,危害任意用户,最终使域控系统沦陷。
Akamai对该漏洞的看法是什么?
Akamai认为该漏洞是一个关键风险,建议企业限制dMSA创建权限并监控相关行为。
微软对BadSuccessor漏洞的处理态度如何?
微软将该漏洞评定为中等严重性,认为无需紧急修复。
攻击者如何利用BadSuccessor漏洞?
攻击者可以通过修改dMSA账户的属性,诱使KDC误判服务账户已完成迁移,从而获取目标账户的所有权限。
企业应如何防范BadSuccessor漏洞?
企业应限制dMSA创建权限,监控新建dMSA对象和属性修改行为,以防止此类攻击。
➡️
