dMSA abuse. Monitoriamolo con ADAudit Plus.

dMSA abuse. Monitoriamolo con ADAudit Plus.

dMSA abuse. Una vulnerabilità critica, denominata BadSuccessor, è stata identificata in Windows Server 2025. Questa falla sfrutta la nuova funzionalità Delegated Managed Service Accounts (dMSA), consentendo agli aggressori di aumentare i privilegi negli ambienti Active Directory (AD). Fin dalla sua scoperta e dall’analisi dettagliata condotta da Yuval Gordon di Akamai, questa vulnerabilità ha suscitato notevole interesse nella comunità della sicurezza informatica. Approfondiremo e comprenderemo i meccanismi alla base di questa vulnerabilità.

Il ruolo dei dMSA in Windows Server 2025.

Nelle versioni precedenti di Windows Server, gli account di servizio gestiti semplificavano la gestione degli account di servizio automatizzando la gestione delle password. Sulla base di ciò, Windows Server 2025 ha introdotto i dMSA, che offrono funzionalità di delega e sicurezza avanzate. I principali vantaggi dei dMSA includono:

• Password automatizzate, randomizzate e a rotazione regolare gestite da Active Directory.
• Controllo delegato all’interno di specifiche unità organizzative (OU), consentendo la gestione senza diritti di amministratore di dominio completi.
• Migrazione fluida da account di servizio non gestiti a dMSA senza interruzione dei servizi.
• Sicurezza migliorata grazie all’associazione dell’autenticazione a macchine specifiche e alla disabilitazione degli account originali dopo la migrazione.

Comprendere la vulnerabilità BadSuccessor.

L’attacco BadSuccessor sfrutta l’attributo msDS-ManagedAccountPrecededByLink nei dMSA. Manipolando questo attributo, un aggressore può simulare una migrazione da un account con privilegi elevati, come un amministratore di dominio, a un dMSA appena creato. Ciò fa sì che il centro di distribuzione delle chiavi conceda al dMSA i privilegi dell’account preso di mira, consentendo di fatto la completa impersonificazione senza alterare gli account esistenti o le appartenenze ai gruppi. Il 91% degli ambienti analizzati ha mostrato che gli utenti esterni al gruppo degli amministratori di dominio avevano le autorizzazioni necessarie per portare a termine questo attacco.

Exploitation steps.

Un aggressore con privilegi minimi può eseguire i seguenti passaggi:

• Creare un dMSA. L’aggressore crea un account di servizio gestito delegato all’interno di un’unità organizzativa in cui dispone di autorizzazioni sufficienti.
• Modificare gli attributi. Modificano quindi l’attributo msDS-ManagedAccountPrecededByLink del dMSA in modo che punti a un account con privilegi elevati, come un amministratore di dominio.
• Autenticazione come dMSA. Il sistema considera il dMSA come successore dell’account privilegiato, concedendogli autorizzazioni equivalenti.

Conseguenze reali che non puoi ignorare.

Gli aggressori possono ottenere il controllo completo del dominio senza essere scoperti

• Questo exploit consente agli aggressori di assumere un accesso privilegiato manipolando i dMSA senza alterare gli account di alto livello esistenti. Poiché gli account originali rimangono intatti, ciò rende difficile per i team di sicurezza rilevare qualsiasi attività sospetta.
• Gli utenti con privilegi bassi possono elevare il livello di privilegio ad amministratore di dominio abusando del controllo dei dMSA
• Gli aggressori con diritti minimi possono sfruttare le autorizzazioni delegate sui dMSA per elevare i privilegi all’amministratore di dominio.
• L’attacco opera silenziosamente all’interno del modello di trust di Active Directory
• Questo metodo lascia prove forensi minime, rendendolo difficile da individuare e consentendo agli aggressori di mantenere la persistenza.

Aspetti da considerare.

Monitorare la creazione di dMSA.

Tenere d’occhio la creazione di dMSA. Poiché gli aggressori possono sfruttare le autorizzazioni per creare dMSA a scopo di escalation dei privilegi, è importante verificare che qualsiasi nuova creazione di dMSA venga eseguita solo da personale autorizzato e sia in linea con le policy di sicurezza dell’organizzazione. La creazione di dMSA imprevista o non autorizzata dovrebbe destare immediata preoccupazione.

Monitorare le modifiche all’attributo “msDS-ManagedAccountPrecededByLink”

Le modifiche all’attributo msDS-ManagedAccountPrecededByLink sugli oggetti dMSA sono un indicatore chiave di potenziale uso improprio. Questo attributo collega il dMSA a un account con privilegi elevati, trasferendone di fatto le autorizzazioni.

Implementare SACL per attributi critici.

Configurare le liste di controllo di accesso al sistema (SACL) per registrare la creazione di oggetti msDS-DelegatedManagedServiceAccount (ID evento 5137) e le modifiche all’attributo msDS-ManagedAccountPrecededByLink (ID evento 5136). Questo aiuta a rilevare eventuali manomissioni dei dMSA.

Verificare le autorizzazioni sulle OU.

Verificare regolarmente le autorizzazioni sulle OU e sui container in cui è possibile creare dMSA. Assicurarsi che la possibilità di creare oggetti figlio sia limitata agli amministratori attendibili.

Rimanere aggiornati sulle patch Microsoft.

Rimanere informati sugli ultimi aggiornamenti e patch Microsoft che risolvono la vulnerabilità BadSuccessor e applicarli tempestivamente non appena disponibili.

Monitora l’attività dMSA con ADAudit Plus.

ADAudit Plus è una soluzione di auditing delle modifiche basata su UBA che aiuta a garantire responsabilità, sicurezza e conformità su AD, file server, server Windows e workstation. Prova subito la versione demo: https://www.manageengine.com/it/active-directory-audit/

Contattaci per avere maggiori informazioni! Invia una e-mail a sales@bludis.it o chiama lo 0643230077

E non perdere la nostra formazione! Nel “Training Corner” trovi tutti i webinar gratuiti su tutti i prodotti Bludis: https://bludis.it/training-corner/webinar/