BadSuccessor 漏洞：未修复的微软 Active Directory 攻击可导致域控沦陷

2025-11-26 19:39:54分类：物联网阅读(24284)

低权限用户可滥用dMSA功能实现域管理员提权

网络安全研究人员发现 ，漏洞沦陷在默认配置的未修微软Windows Server 2025 Active Directory（AD，活动目录）环境中存在一条新的域控攻击路径
。攻击者可利用该漏洞危害环境中的漏洞沦陷任意用户，最终导致整个域控系统沦陷。未修微软

Akamai研究员Yuval Gordon在最新报告中指出
："该问题可能影响绝大多数依赖AD架构的域控企业组织。在我们检测的漏洞沦陷91%环境中，都发现了域管理员组之外具备攻击所需权限的未修微软用户。"该攻击利用了Windows Server 2025引入的域控"委托托管服务账户"（Delegated Managed Service Accounts ，云计算dMSA）新特性——该功能本是漏洞沦陷为防范Kerberoasting攻击（攻击者从AD环境中提取服务账户凭证哈希后进行离线破解）而设计 。

研究团队发现，未修微软dMSA账户从被替代服务账户继承权限时
，域控其实现方式允许无缝迁移和使用先前颁发的漏洞沦陷票据，却未执行足够严格的未修微软验证 。这使得攻击者可以成功冒充包括域管理员在内的域控任何用户。微软虽承认该问题，但将其评定为中等严重性，认为无需紧急修复，理由是CreateChild权限相关风险已有文档说明。源码库但Akamai研究人员指出，当前行业标准实践或工具均未将此权限视为关键风险 。

不完整的dMSA迁移过程欺骗密钥分发中心

创建dMSA账户时，它会继承被替代服务账户的权限。这个迁移过程涉及更新dMSA对象属性的多个步骤，包括：

msDS-DelegatedMSAState：标记迁移状态（未知/进行中/已完成）msDS-ManagedAccountPrecededByLink 
：标识被替代账户msDS-GroupMSAMembership：指定可认证为该账户的主体

迁移完成后，任何尝试以旧服务账户认证的设备都会收到包含KERB-SUPERSEDED-BY-USER字段的错误信息，提示其改用dMSA重新认证 。此时AD使用的高防服务器Kerberos协议中的密钥分发中心（KDC）会为dMSA账户生成特权属性证书（PAC），其中包含被替代账户及其关联组的安全标识符（SID），实质上授予新账户所有旧账户权限。

漏洞关键在于 ：攻击者可以任意修改自建dMSA账户的这两个属性
，诱使KDC误判任意服务账户已完成迁移 。Akamai团队将这种技术命名为"BadSuccessor"，并强调 ："攻击者只需控制dMSA对象即可掌控整个域 ，无需实际迁移过程或验证机制。"

未部署dMSA的环境同样面临风险

研究团队警告 ，即使企业尚未创建任何dMSA账户 ，攻击者仍可利用OU（组织单元）中的模板下载CreateChild权限自行创建。默认情况下，dMSA账户存储在托管服务账户容器 ，但通过path参数也可在OU内创建 。具备OU内CreateChild权限的低权限用户创建dMSA后
，可：

修改ManagedAccountPrecededByLink属性指向目标账户（如域管理员）将msDS-DelegatedMSAState设为已完成状态（值2）通过KDC认证获取包含目标账户所有权限的会话票据

研究人员指出："仅需修改两个属性
，新建对象就能继承全部特权 。我们未更改任何组成员关系 ，未提升现有账户权限 ，也未触发传统提权警报 。"

攻击者还能获取加密凭证

更严重的是，免费模板攻击者不仅能获取目标账户权限的会话票据 ，还能通过票据中的KERB-DMSA-KEYPACKAGE结构获取该账户的加密密码（存储在previous-keys字段）
 。虽然新建dMSA本不应存在"历史密钥" ，但为保持迁移前颁发的会话票据有效性 ，系统会继承被替代账户的密钥——这使得攻击者可能获取域内所有用户和计算机的密钥 。

缓解措施建议

目前微软尚未发布补丁  ，Akamai建议企业采取以下措施 ：

(1) 使用其提供的PowerShell脚本识别具备dMSA创建权限的主体及对应OU

(2) 将该权限严格限制于可信管理员账户

(3) 部署系统访问控制列表（SACL）监控以下行为：

新建msDSDelegatedManagedServiceAccount对象修改msDSManagedAccountPrecededByLink属性为含KERB-DMSA-KEY-PACKAGE结构的源码下载dMSA生成票据授予票据（TGT）