微软近期针对 “BadSuccessor” 漏洞(CVE-2025-53779)发布的补丁已成功封堵直接的权限提升路径,但安全研究人员警告称,其底层技术手段对技术成熟的攻击者仍具可利用性。
尽管该补丁阻止了通过 “单向委派托管服务账户(dMSA)链接” 直接提升为域管理员(Domain Admin)的操作,但在已被入侵的 Active Directory(活动目录)环境中,威胁行为者仍可利用这一技术的基本机制窃取凭证并实施横向移动。
- CVE-2025-53779 漏洞补丁在密钥分发中心(KDC)强制要求 dMSA 与账户之间建立双向链接,阻断了单向权限提升路径;
- dMSA 的技术机制仍可被用于获取和窃取凭证;
- 缓解措施:为服务器安装补丁。
“BadSuccessor” 漏洞最初允许低权限用户通过滥用 Windows Server 2025 中新推出的 dMSA 账户类型,直接获取域管理员权限。
攻击者通过创建受控的 dMSA,并将其与高权限账户关联,无需修改组成员身份或使用特殊工具,即可继承目标账户的有效权限和 Kerberos 密钥。
该技术的核心漏洞点在于:密钥分发中心(KDC)在身份验证过程中,会将关联的 dMSA 视为 “继任者”(successor),将目标账户的权限合并到 dMSA 的权限属性证书(PAC)中,并返回包含目标账户身份验证密钥的凭证包。
微软此次补丁的修复重点在于 KDC 层面的验证,而非对目录端属性的保护。
阿卡迈(Akamai)公司报告称,对 kdcsvc.dll 文件的修改现已要求 dMSA 与目标账户之间必须建立双向链接,这与合法的账户迁移流程保持一致。
然而,这一强制验证机制仍为攻击者留下了两个需重点防范的攻击入口,防御方必须对此加强监控:
第一个攻击入口:可作为 “影子凭证攻击” 的替代方案,用于获取凭证和权限。
当攻击者同时控制某个目标主体(target principal)和一个 dMSA 时,可建立双向关联以申请 dMSA 票据。
这种攻击方式具备多重优势:既能以目标账户的权限执行操作,又能借助 dMSA 身份规避检测;相比 “Kerberoasting 攻击”,获取目标账户密钥的可靠性更高;且会产生独特的遥测特征,主要体现在 “链接修改” 和 “向 dMSA 签发票据授予票据(TGT)” 相关操作上。
第二个攻击入口:在已被入侵的域中,可作为 “DCSync 攻击” 的替代方案,用于窃取凭证。
攻击者无需使用传统的基于复制的技术,而是利用 “BadSuccessor” 的技术机制,通过正常的票据签发流程提取主体密钥。
这种方式会产生独特的行为特征,可能绕过现有针对传统凭证窃取方法设计的检测机制。
检测策略应重点关注以下方面:
- 通过系统访问控制列表(SACLs)审计 dMSA 的创建操作,以及迁移链接属性的变更;
- 行为指标包括:短时间内多次尝试获取 dMSA 密码、正常启用的用户意外与 dMSA 建立关联、此前已禁用的账户新增 dMSA 关联。
各机构应优先为 Windows Server 2025 域控制器安装补丁,同时审查组织单元(OU)权限,并将 dMSA 的委派控制严格限制在 0 层(Tier 0)管理员范围内。
“BadSuccessor” 从漏洞演变为可长期利用的攻击手段,凸显了行业普遍面临的一个挑战:补丁虽能封堵特定的漏洞利用路径,但底层的攻击机制仍可能被滥用。
安全团队必须调整其监控和检测能力,以应对这些演变后的威胁向量 —— 需认识到,即便在已安装补丁的环境中,技术成熟的攻击者仍会继续利用 dMSA 关联关系获取凭证并实施横向移动。
(注:“dMSA” 全称为 “delegated Managed Service Account”,中文标准译法为 “委派托管服务账户”,是 Windows 系统中用于简化服务账户管理的特殊账户类型;“Active Directory” 即 “活动目录”,是微软推出的目录服务,用于集中管理网络中的用户、计算机和资源;“KDC” 为 “Key Distribution Center” 的缩写,即 “密钥分发中心”,负责在 Kerberos 身份验证协议中分发密钥和票据;“DCSync” 是一种经典的凭证窃取技术,通过模拟域控制器的复制行为获取域内账户凭证。)
红客联盟·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
