导语

近日，网络安全公司Akamai的研究人员发现，Windows Server 2025中引入的“委托托管服务账户”（dMSA）功能存在严重漏洞（被命名为BadSuccessor），攻击者可利用该漏洞完全控制Active Directory域内任意用户，包括域管理员等高权限账户，最终导致整个域控系统沦陷。

微软虽承认漏洞存在，却将其定为“中等严重性”，认为无需紧急修复。但Akamai警告称，91%的受测环境中存在具备攻击条件的低权限用户，攻击者仅需修改两个属性即可实现域控接管，风险远超微软评估。

一.漏洞技术原理：为何攻击如此简单？

1. dMSA权限继承机制的设计缺陷

dMSA是微软为替代传统服务账户、防范Kerberoasting攻击而设计的新功能。其核心逻辑是：当dMSA账户替换旧服务账户时，自动继承原账户所有权限，以确保服务无缝迁移。然而，迁移过程的验证机制存在漏洞，攻击者可通过以下步骤绕过限制：

步骤1：在任意组织单元（OU）中创建dMSA账户（需具备CreateChild权限，该权限广泛存在于普通用户中）；

步骤2：修改dMSA对象的两个关键属性：

msDS-ManagedAccountPrecededByLink：指向目标账户（如域管理员）；

msDS-DelegatedMSAState：设为“已完成迁移”（值2）；

步骤3：通过Kerberos协议的密钥分发中心（KDC）认证，获取包含目标账户权限的会话票据。

2. 攻击无需高权限，甚至无需实际迁移

攻击者只需控制一个dMSA对象，即可伪造迁移完成状态，诱使KDC误判其已合法继承目标账户权限。整个过程无需修改组成员关系或提升现有账户权限，完全规避传统安全警报。

3. 加密凭证泄露风险

更危险的是，攻击者通过会话票据中的KERB-DMSA-KEYPACKAGE结构，可提取目标账户的历史加密密钥，进一步扩大攻击范围至域内所有用户和计算机。

二.影响范围：谁在风险中？

默认配置即存在风险：任何部署了Windows Server 2025域控制器的环境均受漏洞影响，即使未启用dMSA功能，攻击者仍可自行创建恶意dMSA账户。

低权限用户即可发动攻击：91%的受测环境中，非域管理员用户已具备攻击所需的CreateChild权限。

危害等级等同DCSync：攻击者可像执行DCSync攻击一样，直接提取密码哈希并横向渗透整个域。

三.微软的回应与争议

微软表示，该漏洞需攻击者具备一定权限（如CreateChild），因此仅评为“中等严重性”，暂不发布紧急补丁。但Akamai反驳称：

1 CreateChild权限普遍存在，且行业工具未将其视为高风险；

2 攻击利用链简单，仅需几行PowerShell命令即可完成，无需定制工具；

3 漏洞利用后危害程度足以导致全域沦陷，远超“中等”评级。

四.企业如何应对？

目前微软尚未提供补丁，Akamai建议采取以下临时缓解措施：

1权限管控：

使用Akamai提供的PowerShell脚本扫描具备dMSA创建权限的账户及对应OU；

将CreateChild权限限制为可信管理员账户。

2监控与日志审计：

监控事件ID 5136（属性修改）、5137（dMSA创建）、2946（dMSA认证）；

部署SACL追踪对msDS-ManagedAccountPrecededByLink属性的修改行为。

3密钥保护：

禁止非必要账户生成含KERB-DMSA-KEY-PACKAGE结构的票据授予票据（TGT）。

总结：新特性，新风险

BadSuccessor漏洞再次暴露了权限继承机制在安全设计中的复杂性。微软为增强功能引入的dMSA，却因验证缺失成为攻击者的“捷径”。企业需警惕：默认配置不等于安全配置，即使微软未紧急响应，也应主动收紧权限并加强监控。

“在网络安全中，最危险的往往是被忽视的‘普通权限’。” —— Akamai研究员Yuval Gordon。

作者：道玄网安；来源：道玄网安驿站微信号