Menu dostępności

Możliwe pełne przejęcie domeny Active Directory. Winna podatność w dMSA

Możliwe pełne przejęcie domeny Active Directory. Winna podatność w dMSA

Mamy nową poważną lukę bezpieczeństwa w Active Directory na Windows Server 2025.

W ubiegłym tygodniu (dokładnie 21 maja) badacz bezpieczeństwa z Akamai, Yuval Gordon, opublikował szczegółową analizę podatności w systemie Windows Server 2025, która umożliwia eskalację uprawnień w środowisku Active Directory (AD). Podatność ta, nazwana „BadSuccessor”, wykorzystuje mechanizm Delegated Managed Service Accounts (dMSA) do przejęcia kontroli nad dowolnym kontem w domenie.

Szczegóły techniczne

  • Mechanizm ataku: atakujący tworzy nowy obiekt dMSA w AD, przypisując mu atrybut msDS-ManagedPasswordId, wskazujący na SID istniejącego konta. Następnie poprzez manipulację atrybutem msDS-GroupMSAMembership uzyskuje dostęp do hasła tego konta.
  • Wymagania: uprawnienie do tworzenia obiektów w OU oraz możliwość modyfikacji określonych atrybutów.
  • Skutki: pełne przejęcie kontroli nad wybranym kontem w domenie, w tym z wysokimi uprawnieniami.

Czym są dMSA?

Delegated Managed Service Accounts (dMSA) to nowa funkcjonalność, wprowadzona w Windows Server 2025, która rozszerza możliwości znanych wcześniej group Managed Service Accounts (gMSA). Umożliwiają one migrację istniejących kont usługowych do zarządzanych kont dMSA, co ma na celu uproszczenie zarządzania tożsamościami usług. Przypominamy, że o atakowaniu kont gMSA pisaliśmy tutaj.

Wykorzystanie podatności

Badacze odkryli, że proces migracji kont do dMSA zawiera lukę, która pozwala atakującemu z niskimi uprawnieniami na przejęcie kontroli nad dowolnym kontem w domenie. Wystarczy, że posiada on uprawnienie do tworzenia obiektów w jednostce organizacyjnej (OU), co jest często spotykane w środowiskach AD, np. wśród pracowników działów HelpDesk.

Problem zidentyfikowany przez Akamai polega na tym, że podczas procesu uwierzytelniania Kerberos z udziałem konta typu dMSA w wygenerowanym przez centrum dystrybucji kluczy (KDC) bilecie TGT (Ticket Granting Ticket) umieszczany jest tzw. Privilege Attribute Certificate (PAC). Ten certyfikat zawiera nie tylko identyfikator zabezpieczeń (SID) nowego konta dMSA, ale także SID-y konta usługowego, które dMSA ma zastąpić, oraz wszystkich grup, do których to poprzednie konto należało.

To automatyczne „dziedziczenie” uprawnień pomiędzy kontami może zostać wykorzystane do eskalacji uprawnień – nawet jeśli migracja konta usługowego do dMSA faktycznie nigdy się nie odbyła. Atakujący może bowiem zasymulować taki proces migracji, co potencjalnie umożliwia przejęcie dowolnego konta w domenie – w tym także kont administratorów – i uzyskanie odpowiednich przywilejów. Co istotne, luka może być wykorzystana nawet w środowiskach, które w ogóle nie korzystają z dMSA.

„Ciekawostką w przypadku tej techniki symulowanej migracji jest to, że nie wymaga ona żadnych uprawnień względem konta, które ma być zastąpione” – mówi Yuval Gordon z Akamai. „Wystarczy mieć prawo do modyfikowania atrybutów dowolnego konta typu dMSA. Tylko tyle”.

„Gdy oznaczymy dMSA jako następcę innego konta użytkownika, KDC automatycznie zakłada, że migracja została przeprowadzona zgodnie z procedurami i bez żadnych zastrzeżeń. W efekcie przyznaje naszemu dMSA wszystkie uprawnienia, które wcześniej posiadał pierwotny użytkownik – jakby był jego legalnym następcą”.

Źródło: Akamai

Zalecenia dotyczące zabezpieczeń

Microsoft został poinformowany o podatności i planuje jej naprawę w przyszłych aktualizacjach. Do czasu wydania oficjalnej poprawki zaleca się:

  1. Przegląd uprawnień w OU: upewnienie się, że tylko zaufani użytkownicy mają możliwość tworzenia obiektów w jednostkach organizacyjnych.
  2. Monitorowanie zmian w AD: śledzenie tworzenia nowych obiektów dMSA oraz modyfikacji atrybutów związanych z hasłami.
  3. Szkolenia dla administratorów: zwiększenie świadomości na temat potencjalnych zagrożeń związanych z dMSA.

Wykrywanie ataku

Zalecamy implementację dobrych narzędzi do bezpieczeństwa i monitorowania Active Directory. Akamai opracował narzędzie „BadSuccessor” (napisane w PowerShell), które pozwala na identyfikację potencjalnych nadużyć związanych z dMSA. Organizacje mogą wykorzystać to narzędzie do przeszukania swojego środowiska AD pod kątem podejrzanych obiektów dMSA i nietypowych modyfikacji atrybutów.

Podsumowanie

Podatność „BadSuccessor” stanowi poważne zagrożenie dla środowisk Active Directory korzystających z Windows Server 2025. Wykorzystanie mechanizmu dMSA do eskalacji uprawnień pokazuje, jak nowe funkcjonalności mogą wprowadzać nieoczekiwane wektory ataku. Do czasu wydania przez Microsoft oficjalnej poprawki organizacje powinny podjąć kroki w celu zabezpieczenia swojego środowiska AD.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...