Cacat eskalasi hak istimewa telah ditunjukkan di Windows Server 2025 yang memungkinkan penyerang untuk mengkompromikan setiap pengguna di Active Directory (AD).
“Serangan mengeksploitasi fitur Akun Layanan Terkelola (DMSA) yang didelegasikan yang diperkenalkan di Windows Server 2025, bekerja dengan konfigurasi default, dan sepele untuk diimplementasikan,” kata peneliti keamanan Akamai Yuval Gordon dalam sebuah laporan yang dibagikan kepada Hacker News.
“Masalah ini kemungkinan mempengaruhi sebagian besar organisasi yang mengandalkan AD. Di 91% dari lingkungan yang kami periksa, kami menemukan pengguna di luar kelompok admin domain yang memiliki izin yang diperlukan untuk melakukan serangan ini.”
Apa yang membuat jalur serangan terkenal adalah bahwa ia memanfaatkan fitur baru yang disebut Delegated Managed Service Account (DMSA) yang memungkinkan migrasi dari akun layanan warisan yang ada. Itu diperkenalkan di Windows Server 2025 sebagai mitigasi untuk serangan Kerberoasting.
Teknik serangan telah diberi nama sandi Badsuccessor oleh perusahaan infrastruktur dan keamanan web.
“DMSA memungkinkan pengguna untuk membuatnya sebagai akun mandiri, atau untuk mengganti akun layanan standar yang ada,” Microsoft mencatat dalam dokumentasinya. “Ketika DMSA menggantikan akun yang ada, otentikasi ke akun yang ada menggunakan kata sandi diblokir.”
“Permintaan ini dialihkan ke Otoritas Keamanan Lokal (LSA) untuk mengotentikasi menggunakan DMSA, yang memiliki akses ke semua yang dapat diakses oleh akun sebelumnya dalam AD. Selama migrasi, DMSA secara otomatis mempelajari perangkat di mana akun layanan akan digunakan yang kemudian digunakan untuk pindah dari semua akun layanan yang ada.”
Masalah yang diidentifikasi oleh Akamai adalah bahwa selama fase otentikasi DMSA Kerberos, Privilege Atribut Certificate (PAC) yang tertanam ke dalam tiket pemberi tiket (yaitu, kredensial yang digunakan untuk memverifikasi identitas) yang dikeluarkan oleh pusat distribusi utama (KDC) mencakup pengidentifikasi keamanan DMSAS (SID) serta SIDS dari SIDS.
Transfer izin ini antara akun dapat membuka pintu ke skenario eskalasi hak istimewa yang potensial dengan mensimulasikan proses migrasi DMSA untuk mengkompromikan pengguna mana pun, termasuk administrator domain, dan mendapatkan hak istimewa yang sama, secara efektif melanggar seluruh domain bahkan jika domain Windows Server 2025 organisasi sama sekali tidak menggunakan DMSA sama sekali.
“Satu fakta menarik tentang teknik 'migrasi simulasi' ini, adalah bahwa ia tidak memerlukan izin apa pun melalui akun yang digantikan,” kata Gordon. “Satu -satunya persyaratan adalah menulis izin atas atribut DMSA. DMSA apa pun.”
“Setelah kami menandai DMSA seperti yang didahului oleh pengguna, KDC secara otomatis mengasumsikan migrasi yang sah terjadi dan dengan senang hati memberikan DMSA kami setiap izin yang dimiliki pengguna asli, seolah -olah kami adalah penggantinya yang sah.”
Akamai mengatakan mereka melaporkan temuan ke Microsoft pada 1 April 2025, yang mengikuti raksasa teknologi itu mengklasifikasikan masalah tersebut sebagai tingkat keparahan yang moderat dan tidak memenuhi bilah untuk melayani segera karena fakta bahwa eksploitasi yang berhasil mengharuskan penyerang untuk memiliki izin khusus pada objek DMSA, yang menunjukkan peningkatan hak istimewa. Namun, tambalan saat ini sedang dikerjakan.
Mengingat bahwa tidak ada perbaikan langsung untuk serangan itu, organisasi disarankan untuk membatasi kemampuan untuk membuat DMSA dan mengeraskan izin sedapat mungkin. Akamai juga telah merilis skrip PowerShell yang dapat menyebutkan semua prinsipal non-default yang dapat membuat DMSA dan mendaftar unit organisasi (OUS) di mana setiap kepala sekolah memiliki izin ini.
“Kerentanan ini memperkenalkan jalur penyalahgunaan yang sebelumnya tidak diketahui dan berdampak tinggi yang memungkinkan pengguna mana pun dengan izin CreateChild pada OU untuk mengkompromikan pengguna mana pun dalam domain dan mendapatkan kekuatan yang sama dengan perubahan direktori replikasi, hak istimewa yang digunakan untuk melakukan serangan DCSYNC,” kata Gordon.
