久久99国产精品尤物-国产高清色播视频免费看-男生肌肌往女人桶爽视频-精品国产-91PORNY九色|www.jqdstudio.net

Windows Server 2025曝高危漏洞！攻擊者可一鍵接管域控權(quán)限，微軟卻稱“無需緊急修復(fù)”

點(diǎn)擊：  作者：道玄安全    來源：道玄網(wǎng)安驛站微信號(hào)  發(fā)布時(shí)間:2025-05-23 18:46:37

 

導(dǎo)語

近日，網(wǎng)絡(luò)安全公司Akamai的研究人員發(fā)現(xiàn)，Windows Server 2025中引入的“委托托管服務(wù)賬戶”（dMSA）功能存在嚴(yán)重漏洞（被命名為BadSuccessor），攻擊者可利用該漏洞完全控制Active Directory域內(nèi)任意用戶，包括域管理員等高權(quán)限賬戶，最終導(dǎo)致整個(gè)域控系統(tǒng)淪陷。

 

微軟雖承認(rèn)漏洞存在，卻將其定為“中等嚴(yán)重性”，認(rèn)為無需緊急修復(fù)。但Akamai警告稱，91%的受測(cè)環(huán)境中存在具備攻擊條件的低權(quán)限用戶，攻擊者僅需修改兩個(gè)屬性即可實(shí)現(xiàn)域控接管，風(fēng)險(xiǎn)遠(yuǎn)超微軟評(píng)估。

 

 

一.漏洞技術(shù)原理：為何攻擊如此簡(jiǎn)單？

 

1. dMSA權(quán)限繼承機(jī)制的設(shè)計(jì)缺陷

 

dMSA是微軟為替代傳統(tǒng)服務(wù)賬戶、防范Kerberoasting攻擊而設(shè)計(jì)的新功能。其核心邏輯是：當(dāng)dMSA賬戶替換舊服務(wù)賬戶時(shí)，自動(dòng)繼承原賬戶所有權(quán)限，以確保服務(wù)無縫遷移。然而，遷移過程的驗(yàn)證機(jī)制存在漏洞，攻擊者可通過以下步驟繞過限制：

 

步驟1：在任意組織單元（OU）中創(chuàng)建dMSA賬戶（需具備CreateChild權(quán)限，該權(quán)限廣泛存在于普通用戶中）；

步驟2：修改dMSA對(duì)象的兩個(gè)關(guān)鍵屬性：

msDS-ManagedAccountPrecededByLink：指向目標(biāo)賬戶（如域管理員）；

msDS-DelegatedMSAState：設(shè)為“已完成遷移”（值2）；

步驟3：通過Kerberos協(xié)議的密鑰分發(fā)中心（KDC）認(rèn)證，獲取包含目標(biāo)賬戶權(quán)限的會(huì)話票據(jù)。

 

2. 攻擊無需高權(quán)限，甚至無需實(shí)際遷移

 

攻擊者只需控制一個(gè)dMSA對(duì)象，即可偽造遷移完成狀態(tài)，誘使KDC誤判其已合法繼承目標(biāo)賬戶權(quán)限。整個(gè)過程無需修改組成員關(guān)系或提升現(xiàn)有賬戶權(quán)限，完全規(guī)避傳統(tǒng)安全警報(bào)。

 

3. 加密憑證泄露風(fēng)險(xiǎn)

 

更危險(xiǎn)的是，攻擊者通過會(huì)話票據(jù)中的KERB-DMSA-KEYPACKAGE結(jié)構(gòu)，可提取目標(biāo)賬戶的歷史加密密鑰，進(jìn)一步擴(kuò)大攻擊范圍至域內(nèi)所有用戶和計(jì)算機(jī)。

 

二.影響范圍：誰在風(fēng)險(xiǎn)中？

 

默認(rèn)配置即存在風(fēng)險(xiǎn)：任何部署了Windows Server 2025域控制器的環(huán)境均受漏洞影響，即使未啟用dMSA功能，攻擊者仍可自行創(chuàng)建惡意dMSA賬戶。

 

低權(quán)限用戶即可發(fā)動(dòng)攻擊：91%的受測(cè)環(huán)境中，非域管理員用戶已具備攻擊所需的CreateChild權(quán)限。

 

危害等級(jí)等同DCSync：攻擊者可像執(zhí)行DCSync攻擊一樣，直接提取密碼哈希并橫向滲透整個(gè)域。

 

三.微軟的回應(yīng)與爭(zhēng)議

 

微軟表示，該漏洞需攻擊者具備一定權(quán)限（如CreateChild），因此僅評(píng)為“中等嚴(yán)重性”，暫不發(fā)布緊急補(bǔ)丁。但Akamai反駁稱：

 

1 CreateChild權(quán)限普遍存在，且行業(yè)工具未將其視為高風(fēng)險(xiǎn)；

2 攻擊利用鏈簡(jiǎn)單，僅需幾行PowerShell命令即可完成，無需定制工具；

3 漏洞利用后危害程度足以導(dǎo)致全域淪陷，遠(yuǎn)超“中等”評(píng)級(jí)。

 

四.企業(yè)如何應(yīng)對(duì)？

 

目前微軟尚未提供補(bǔ)丁，Akamai建議采取以下臨時(shí)緩解措施：

 

1權(quán)限管控：

使用Akamai提供的PowerShell腳本掃描具備dMSA創(chuàng)建權(quán)限的賬戶及對(duì)應(yīng)OU；

將CreateChild權(quán)限限制為可信管理員賬戶。

 

2監(jiān)控與日志審計(jì)：

監(jiān)控事件ID 5136（屬性修改）、5137（dMSA創(chuàng)建）、2946（dMSA認(rèn)證）；

部署SACL追蹤對(duì)msDS-ManagedAccountPrecededByLink屬性的修改行為。

 

3密鑰保護(hù)：

禁止非必要賬戶生成含KERB-DMSA-KEY-PACKAGE結(jié)構(gòu)的票據(jù)授予票據(jù)（TGT）。

 

總結(jié)：新特性，新風(fēng)險(xiǎn)

 

BadSuccessor漏洞再次暴露了權(quán)限繼承機(jī)制在安全設(shè)計(jì)中的復(fù)雜性。微軟為增強(qiáng)功能引入的dMSA，卻因驗(yàn)證缺失成為攻擊者的“捷徑”。企業(yè)需警惕：默認(rèn)配置不等于安全配置，即使微軟未緊急響應(yīng)，也應(yīng)主動(dòng)收緊權(quán)限并加強(qiáng)監(jiān)控。

 

“在網(wǎng)絡(luò)安全中，最危險(xiǎn)的往往是被忽視的‘普通權(quán)限’。” —— Akamai研究員Yuval Gordon。

 

作者：道玄網(wǎng)安；來源：道玄網(wǎng)安驛站微信號(hào)