Критическая Уязвимость в Windows Server 2025 dMSA: Компрометация Любого Пользователя AD Стала ТривиальнойОбнаружена серьезная уязвимость повышения привилегий в Windows Server 2025, позволяющая злоумышленникам скомпрометировать любого пользователя в Active Directory (AD), включая доменных администраторов. Атака, названная BadSuccessor исследователем из Akamai Ювалем Гордоном, эксплуатирует новую функцию Delegated Managed Service Accounts (dMSA), представленную как раз для смягчения атак типа Kerberoasting Функция dMSA позволяет "заменять" существующие сервисные учетные записи, при этом dMSA наследует все права предыдущей учетки. Аутентификация по паролю для старой учетки блокируется, а запросы перенаправляются на LSA для аутентификации через dMSA.Проблема, выявленная Akamai, заключается в том, что на этапе Kerberos-аутентификации для dMSA, Privilege Attribute Certificate (PAC) в TGT-тикете от KDC включает SID не только самой dMSA, но и SID "замещенной" сервисной учетки и всех ее групп. Это позволяет злоумышленнику, имеющему права на запись в атрибуты любой dMSA (даже если dMSA не используются в домене!), симулировать процесс миграции и "заместить" любого пользователя, включая доменных админов, получив все его привилегии. Для этого не требуется никаких прав на саму "замещаемую" учетку – KDC просто "доверяет", что миграция легитимна.Akamai утверждает, что в 91% исследованных ими сред нашлись пользователи (не доменные админы), имеющие необходимые права для этой атаки (CreateChild на OU, позволяющее создавать dMSA). Это открывает новый, крайне опасный вектор атаки, по мощности сравнимый с DCSync.Microsoft была уведомлена 1 апреля 2025 года, присвоила проблеме "умеренную" серьезность и заявила, что она не требует немедленного патчинга, так как эксплуатация требует специфических прав на объект dMSA (что уже является повышением привилегий). Однако, патч находится в разработке.Пока патча нет, рекомендуется ограничить возможность создания dMSA и максимально ужесточить права на существующие dMSA и OU.Akamai выпустила PowerShell-скрипт для выявления не-дефолтных субъектов, которые могут создавать dMSA, и OU, где у них есть эти права.Типичный Сисадмин
