BadSuccessor, grave vulnerabilità in Windows Server 2025. Microsoft getta acqua sul fuoco

Con l’introduzione dei delegated Managed Service Account (dMSA) in Windows Server 2025, Microsoft ha voluto facilitare la gestione e la migrazione degli account di servizio in Active Directory (AD). Tuttavia, una recente analisi di Akamai mette in evidenza come questa nuova funzionalità, se non adeguatamente protetta, possa essere sfruttata da un aggressore per ottenere privilegi elevati, fino a guadagnare il completo controllo del dominio.

Cos’è dMSA e come funziona

Microsoft ha introdotto dMSA per sostituire i service account legacy, consentendo una transizione trasparente e sicura. La migrazione avviene tramite un processo che collega strettamente la nuova dMSA all’account di servizio originale, sfruttando attributi LDAP specifici e nuovi cmdlet PowerShell come Start-ADServiceAccountMigration.

Un aspetto chiave è la gestione del Privilege Attribute Certificate (PAC) durante l’autenticazione Kerberos: quando un account dMSA si autentica, il PAC generato include non solo il SID (Security IDentifier o Identificatore di sicurezza) dell’account dMSA, ma anche quello dell’account originale e di tutti i gruppi a cui apparteneva. Questo comportamento, pensato per una migrazione trasparente, introduce però un rischio significativo.

La vulnerabilità in Windows Server 2025: abuso degli attributi dMSA

La ricerca di Akamai ha dimostrato che manipolando direttamente gli attributi LDAP di un account dMSA è possibile simulare una migrazione e ottenere tutti i privilegi di qualsiasi altro account di dominio, inclusi i Domain Admins!

Un utente con privilegi minimi ma con la possibilità di creare oggetti dMSA in una Organizational Unit (OU) può avviare l’attacco denominato BadSuccessor. Modificando alcuni attributi chiave e richiedendo un ticket di autenticazione Kerberos, il malintenzionato può acquisire ampi privilegi senza alcun accesso o modifica all’account originale.

Impatto e conseguenze

Come spiegano i tecnici di Akamai, l’attaccante ottiene i privilegi dell’account target senza modificarne la membership o generare log anomali sull’account stesso.

Non vi è inoltre nessuna necessità di usare account dMSA preesistenti. L’attacco è possibile in qualsiasi dominio con almeno un Domain Controller Windows Server 2025, anche se le dMSA non sono mai state utilizzate in precedenza.

Perché Microsoft non è d’accordo e qual è la sua risposta?

Se, da un lato, Akamai ha segnalato privatamente il problema il 1° aprile 2025 esortando Microsoft a rilasciare una patch di emergenza, considerata l’estrema gravità della problematica, dall’altro lato l’azienda di Redmond ha gettato acqua sul fuoco.

Microsoft ha riconosciuto la validità tecnica del problema ma ha classificato la falla come di gravità moderata, ritenendo che non giustifichi un rilascio immediato di patch correttive.

La motivazione principale di Microsoft è che per sfruttare l’attacco è necessario possedere già permessi specifici di scrittura sull’oggetto dMSA, in particolare il permesso CreateChild su un’OU, che implica un livello di privilegi di per sé già elevato. Quindi, secondo Microsoft, l’attaccante deve possedere già un ventaglio di diritti importante per poter abusare della vulnerabilità: ciò ridurrebbe la criticità dell’exploit.

Microsoft ha inoltre fatto riferimento alla propria documentazione (KB5008383) che discute i rischi legati al permesso CreateChild, sottolineando che la gestione di tali permessi è una pratica nota e che la responsabilità di limitarli spetta agli amministratori di dominio.

Akamai ai ferri corti con Microsoft

Dal canto suo, Akamai ha espresso un netto disaccordo con la valutazione di Microsoft evidenziando alcuni punti meritevoli di attenzione:

• La vulnerabilità introduce un nuovo e potente vettore di attacco che consente a un utente con permessi di creazione oggetti in un’OU (permesso spesso sottovalutato e poco monitorato) di compromettere qualsiasi utente del dominio, inclusi gli amministratori.
• Il permesso CreateChild per le dMSA non è attualmente considerato critico dagli strumenti di sicurezza e dalle best practice, rendendo l’attacco “silenzioso” e molto pericoloso.
• L’impatto è simile a quello del privilegio Replicating Directory Changes usato per attacchi DCSync, con potenziali conseguenze devastanti per la sicurezza del dominio.

Microsoft ha comunque dichiarato di essere al lavoro su una patch correttiva da rilasciare in futuro, invitando nel frattempo gli amministratori a prendere precauzioni per limitare i permessi di scrittura sulle dMSA e monitorare attentamente le attività sospette.

Raccomandazioni finali

Fino al rilascio di una patch ufficiale da parte di Microsoft, chiudiamo con alcuni consigli rivolti alle aziende che amministrano anche sistemi Windows Server 2025:

• Eseguire audit degli OU per individuare utenti non privilegiati con diritti CreateChild.
• Rivedere le policy di delega e considerare la disattivazione temporanea del supporto dMSA.
• Monitorare i log per identificare pattern anomali nella creazione di account di servizio.
• Usare gli script di rilevamento predisposti da Akamai per individuare potenziali vettori d’attacco.