Lỗ hổng BadSuccessor leo thang đặc quyền trong Windows server 2025

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
99
802 bài viết
Lỗ hổng BadSuccessor leo thang đặc quyền trong Windows server 2025
WhiteHat Team
Lỗ hổng leo thang đặc quyền (privilege escalation) nghiêm trọng đã được phát hiện trong Windows Server 2025, được gọi là "BadSuccessor", cho phép kẻ tấn công chiếm quyền bất kỳ người dùng nào trong Active Directory (AD).

1747971726924.png

Lỗ hổng này khai thác tính năng Delegated Managed Service Account (dMSA), một tính năng mới trong Windows Server 2025 nhằm giảm thiểu tấn công Kerberoasting. Kẻ tấn công chỉ cần có quyền ghi trên đối tượng dMSA để thực hiện cuộc tấn công, không cần quyền trên tài khoản mục tiêu.

Tính năng liên quan lỗ hổng (Delegated Managed Service Accounts (dMSA))
  • Đây là tính năng mới trong Windows Server 2025, giúp thay thế các tài khoản dịch vụ cũ nhằm giảm thiểu tấn công Kerberoasting.
  • Cho phép tạo tài khoản dMSA mới hoặc thay thế tài khoản dịch vụ hiện có mà không cần sử dụng lại mật khẩu cũ.
Kỹ thuật tấn công:
  • Kẻ tấn công chỉ cần có quyền ghi (write) lên thuộc tính của một dMSA bất kỳ (không cần quyền truy cập vào tài khoản bị thay thế).
  • Sau đó đánh dấu dMSA đó là kế nhiệm của một người dùng bất kỳ trong AD (kể cả Domain Admin).
  • Hệ thống sẽ mặc định coi đây là một quá trình di chuyển hợp lệ và cấp toàn bộ quyền của tài khoản gốc cho dMSA giả mạo.
Phạm vi ảnh hưởng
  • 91% các môi trường Active Directory được kiểm tra có người dùng ngoài Domain Admins sở hữu quyền cần thiết để thực hiện tấn công.
  • Lỗ hổng có thể bị khai thác ngay cả khi tổ chức không sử dụng tính năng dMSA.
Mặc dù Microsoft xếp hạng lỗi này là “mức độ trung bình”, nhưng cộng đồng bảo mật đánh giá tác động rất nghiêm trọng, vì:
  • Dễ khai thác trong môi trường có phân quyền không chặt chẽ.
  • Có thể dẫn tới toàn quyền kiểm soát domain tương tự như tấn công DCSync.
  • Hiện vẫn chưa có bản vá chính thức từ Microsoft.
Khuyến nghị từ các chuyên gia bảo mật
Trong khi chờ bản vá chính thức, các tổ chức nên thực hiện ngay các biện pháp giảm thiểu sau:
  • Hạn chế quyền tạo và chỉnh sửa dMSA, đồng thời sử dụng script PowerShell để kiểm tra các đối tượng có quyền CreateChild trên Organizational Units
  • Tăng cường bảo mật quyền truy cập: Kiểm tra và củng cố các quyền trong Active Directory, đặc biệt là trên các đơn vị tổ chức (OU), để đảm bảo chỉ những người dùng đáng tin cậy có quyền cần thiết.
Theo The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng AI trong GitLab Duo gây rò rỉ mã nguồn, nguy cơ tấn công lừa đảo
  • Lỗ hổng 10 điểm cho phép truy cập và cấu hình thiết bị mà không cần tài khoản
  • Lỗ hổng nghiêm trọng trong vLLM cho phép tấn công từ xa chiếm quyền máy chủ AI
  • Lỗ hổng nghiêm trọng trong Palo Alto GlobalProtect cho phép thực thi mã từ xa
  • Lỗ hổng nghiêm trọng trong glibc cho phép chiếm quyền root hàng triệu hệ thống Linux
  • Lỗ hổng trong plugin WordPress Eventin đe dọa hơn 10.000 website bị chiếm quyền
    • Thẻ
    badsuccessor dmsa windows server
    Bên trên