“El ataque [“BadSuccessor”] explota la función de cuenta de servicio administrada delegada (dMSA) que se introdujo en Windows Server 2025, funciona con la configuración predeterminada y es fácil de implementar”, advirtió el investigador de Akamai, Yuval Gordon.
Explicación de la técnica de ataque BadSuccessor
Esta característica explotable se introdujo para ayudar a las organizaciones a reemplazar las antiguas cuentas de servicio no administradas utilizadas por aplicaciones y sistemas por cuentas de servicio administradas delegadas más seguras.
El proceso de migración acopla una cuenta heredada y una dMSA y hace que esta última herede sin problemas sus permisos, pero los investigadores de Akamai descubrieron que esta herencia automática de privilegios depende de un solo atributo, en el que se basa el Centro de distribución de claves para determinar qué cuenta heredada está reemplazando la dMSA.
Con esa información en mente, exploraron varias vías de ataque.
Primero intentaron migrar los permisos de una cuenta de usuario que controlaban a una nueva dMSA que crearon y autenticarse como ese usuario, pero fallaron porque solo los administradores de dominio pueden realizar la operación migrationADServiceAccount rootDSE .
Luego intentaron establecer un atributo en el objeto dMSA para vincularlo a la cuenta reemplazante y un valor que indica que la migración se ha completado, ¡y funcionó!
Para hacer eso, primero tuvieron que crear una nueva dMSA y descubrieron que la capacidad de crear nuevas dMSA no está reservada para grupos privilegiados de Active Directory: cualquier usuario que tenga los permisos Crear msDS-DelegatedManagedServiceAccount o “Crear todos los objetos secundarios” en cualquier unidad organizativa del dominio puede generarlas.
Así, encontraron una unidad organizativa con usuarios sin privilegios con permisos para «Crear todos los objetos secundarios» y los usaron para crear una nueva dMSA. Luego, configuraron el atributo msDS-ManagedAccountPrecededByLink para vincular cualquier cuenta de usuario o equipo a la dMSA y configuraron el valor «migración completada». ¡Listo! La dMSA creada heredó los permisos de la cuenta reemplazada, sin necesidad de tener permisos sobre esa cuenta específica.
Finalmente, utilizaron la herramienta Rubeus para solicitar un Ticket Granting Ticket al Centro de Distribución de Claves (KDC), lo que les permitió solicitar tokens de acceso a su Ticket Granting Service (TGS).
Con solo dos cambios de atributos, un nuevo y modesto objeto es coronado sucesor, y el KDC nunca cuestiona la línea de sangre; si el vínculo existe, se otorgan los privilegios. No cambiamos la membresía de ningún grupo, no elevamos ninguna cuenta existente ni activamos las alertas tradicionales de escalada de privilegios, señaló Gordon .
Esta técnica permite efectivamente que cualquier usuario que controle un objeto dMSA logre control sobre todo el dominio.
¿Qué hacer hasta que haya un parche disponible?
“Este problema probablemente afecta a la mayoría de las organizaciones que dependen de AD. En el 91 % de los entornos que examinamos, encontramos usuarios fuera del grupo de administradores del dominio que contaban con los permisos necesarios para realizar este ataque”, señaló Gordon, y añadió que la función dMSA puede ser objeto de abuso incluso si el dominio de la organización no la utiliza.
“Mientras la función [dMSA] exista, lo cual ocurre en cualquier dominio con al menos un controlador de dominio (DC) de Windows Server 2025, estará disponible [para los atacantes]”.
Los investigadores informaron a Microsoft sobre su descubrimiento y la compañía está trabajando en una solución. Mientras tanto, se recomienda a las organizaciones que limiten el permiso para crear dMSAs únicamente a los administradores de confianza. (Akamai ha publicado un script que las organizaciones pueden usar para identificar a los administradores que deberían perder dicho permiso).
Los defensores empresariales también deberían comenzar a registrar y editar eventos de creación de dMSA, monitorear modificaciones de atributos y rastrear eventos de autenticación de dMSA, recomendaron los investigadores.
Fuente y redacción: helpnetsecurity.com
