低權(quán)限用戶可濫用dMSA功能實(shí)現(xiàn)域管理員提權(quán)

網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，在默認(rèn)配置的Windows Server 2025 Active Directory（AD，活動目錄）環(huán)境中存在一條新的攻擊路徑。攻擊者可利用該漏洞危害環(huán)境中的任意用戶，最終導(dǎo)致整個(gè)域控系統(tǒng)淪陷。

Akamai研究員Yuval Gordon在最新報(bào)告中指出："該問題可能影響絕大多數(shù)依賴AD架構(gòu)的企業(yè)組織。在我們檢測的91%環(huán)境中，都發(fā)現(xiàn)了域管理員組之外具備攻擊所需權(quán)限的用戶。"該攻擊利用了Windows Server 2025引入的"委托托管服務(wù)賬戶"（Delegated Managed Service Accounts，dMSA）新特性——該功能本是為防范Kerberoasting攻擊（攻擊者從AD環(huán)境中提取服務(wù)賬戶憑證哈希后進(jìn)行離線破解）而設(shè)計(jì)。

研究團(tuán)隊(duì)發(fā)現(xiàn)，dMSA賬戶從被替代服務(wù)賬戶繼承權(quán)限時(shí)，其實(shí)現(xiàn)方式允許無縫遷移和使用先前頒發(fā)的票據(jù)，卻未執(zhí)行足夠嚴(yán)格的驗(yàn)證。這使得攻擊者可以成功冒充包括域管理員在內(nèi)的任何用戶。微軟雖承認(rèn)該問題，但將其評定為中等嚴(yán)重性，認(rèn)為無需緊急修復(fù)，理由是CreateChild權(quán)限相關(guān)風(fēng)險(xiǎn)已有文檔說明。但Akamai研究人員指出，當(dāng)前行業(yè)標(biāo)準(zhǔn)實(shí)踐或工具均未將此權(quán)限視為關(guān)鍵風(fēng)險(xiǎn)。

不完整的dMSA遷移過程欺騙密鑰分發(fā)中心

創(chuàng)建dMSA賬戶時(shí)，它會繼承被替代服務(wù)賬戶的權(quán)限。這個(gè)遷移過程涉及更新dMSA對象屬性的多個(gè)步驟，包括：

• msDS-DelegatedMSAState：標(biāo)記遷移狀態(tài)（未知/進(jìn)行中/已完成）
• msDS-ManagedAccountPrecededByLink：標(biāo)識被替代賬戶
• msDS-GroupMSAMembership：指定可認(rèn)證為該賬戶的主體

遷移完成后，任何嘗試以舊服務(wù)賬戶認(rèn)證的設(shè)備都會收到包含KERB-SUPERSEDED-BY-USER字段的錯(cuò)誤信息，提示其改用dMSA重新認(rèn)證。此時(shí)AD使用的Kerberos協(xié)議中的密鑰分發(fā)中心（KDC）會為dMSA賬戶生成特權(quán)屬性證書（PAC），其中包含被替代賬戶及其關(guān)聯(lián)組的安全標(biāo)識符（SID），實(shí)質(zhì)上授予新賬戶所有舊賬戶權(quán)限。

漏洞關(guān)鍵在于：攻擊者可以任意修改自建dMSA賬戶的這兩個(gè)屬性，誘使KDC誤判任意服務(wù)賬戶已完成遷移。Akamai團(tuán)隊(duì)將這種技術(shù)命名為"BadSuccessor"，并強(qiáng)調(diào)："攻擊者只需控制dMSA對象即可掌控整個(gè)域，無需實(shí)際遷移過程或驗(yàn)證機(jī)制。"

未部署dMSA的環(huán)境同樣面臨風(fēng)險(xiǎn)

研究團(tuán)隊(duì)警告，即使企業(yè)尚未創(chuàng)建任何dMSA賬戶，攻擊者仍可利用OU（組織單元）中的CreateChild權(quán)限自行創(chuàng)建。默認(rèn)情況下，dMSA賬戶存儲在托管服務(wù)賬戶容器，但通過path參數(shù)也可在OU內(nèi)創(chuàng)建。具備OU內(nèi)CreateChild權(quán)限的低權(quán)限用戶創(chuàng)建dMSA后，可：

• 修改ManagedAccountPrecededByLink屬性指向目標(biāo)賬戶（如域管理員）
• 將msDS-DelegatedMSAState設(shè)為已完成狀態(tài)（值2）
• 通過KDC認(rèn)證獲取包含目標(biāo)賬戶所有權(quán)限的會話票據(jù)

研究人員指出："僅需修改兩個(gè)屬性，新建對象就能繼承全部特權(quán)。我們未更改任何組成員關(guān)系，未提升現(xiàn)有賬戶權(quán)限，也未觸發(fā)傳統(tǒng)提權(quán)警報(bào)。"

攻擊者還能獲取加密憑證

更嚴(yán)重的是，攻擊者不僅能獲取目標(biāo)賬戶權(quán)限的會話票據(jù)，還能通過票據(jù)中的KERB-DMSA-KEYPACKAGE結(jié)構(gòu)獲取該賬戶的加密密碼（存儲在previous-keys字段）。雖然新建dMSA本不應(yīng)存在"歷史密鑰"，但為保持遷移前頒發(fā)的會話票據(jù)有效性，系統(tǒng)會繼承被替代賬戶的密鑰——這使得攻擊者可能獲取域內(nèi)所有用戶和計(jì)算機(jī)的密鑰。

緩解措施建議

目前微軟尚未發(fā)布補(bǔ)丁，Akamai建議企業(yè)采取以下措施：

(1) 使用其提供的PowerShell腳本識別具備dMSA創(chuàng)建權(quán)限的主體及對應(yīng)OU

(2) 將該權(quán)限嚴(yán)格限制于可信管理員賬戶

(3) 部署系統(tǒng)訪問控制列表（SACL）監(jiān)控以下行為：

• 新建msDSDelegatedManagedServiceAccount對象
• 修改msDSManagedAccountPrecededByLink屬性
• 為含KERB-DMSA-KEY-PACKAGE結(jié)構(gòu)的dMSA生成票據(jù)授予票據(jù)（TGT）