在 Windows Server 2025 中发现了一个权限提升漏洞，使攻击者能够攻破 Active Directory (AD) 中的任何用户。

“该攻击利用了Windows Server 2025中引入的委托管理服务账户（dMSA）功能，与默认配置配合使用，并且很容易实现，”Akamai安全研究员Yuval Gordon在一份提供的报告中说道。

"这个问题可能影响大多数依赖AD的组织。在我们检查的91%的环境中，我们发现有域管理员组以外的用户具有执行此攻击所需的权限。"

使攻击路径值得注意的是，它利用了一种名为委托管理服务账户 (dMSA) 的新功能，该功能允许从现有的遗留服务账户进行迁移。它在 Windows Server 2025 中引入，作为缓解Kerberoasting攻击的措施。

 

攻击技术已被网络基础设施和安全公司命名为BadSuccessor。

“dMSA 允许用户将其创建为独立账户，或替换现有的标准服务账户，”微软在其文档中指出。“当 dMSA 替换现有账户时，使用其密码对现有账户进行身份验证将被阻止。”

请求被重定向到本地安全权威 (LSA)，使用 dMSA 进行身份验证，dMSA 可以访问 AD 中以前账户可以访问的所有内容。在迁移过程中，dMSA 会自动学习将要使用的服务账户所在的设备，然后用于从所有现有服务账户中进行迁移。

Akamai 所识别的问题是在 dMSA Kerberos 认证阶段，由密钥分发中心（KDC）颁发的票据授予票（即用于验证身份的凭据）中嵌入的特权属性证书（PAC）包括 dMSA 的安全标识符（SID）以及被替换的服务账户和所有相关组的 SID。

这种账户之间的权限转移可能会通过模拟dMSA迁移过程来模拟潜在的权限提升场景，从而攻击任何用户，包括域管理员，并获得类似的权限，从而有效突破整个域，即使组织的Windows Server 2025域完全不使用dMSAs。

“关于这种‘模拟迁移’技术的一个有趣事实是，它不需要对替代账户有任何权限，”戈登说。“唯一的要求是对dMSA的属性有写权限。任何dMSA都可以。”

“一旦我们将一个 dMSA 标记为由用户启动，KDC 会自动假定发生了合法的迁移，并且愉快地授予我们的 dMSA 用户原来的所有权限，仿佛我们是其合法的继承者。”

 

Akamai表示，它于2025年4月1日向微软报告了这一发现，随后这家科技巨头将该问题的严重性归类为中等，并指出由于成功利用需要攻击者对dMSA对象拥有特定权限，这表明权限提升，因此不符合立即服务的标准。然而，目前已经在制作补丁。

由于目前没有针对此攻击的立即解决方案，建议组织限制创建dMSAs的能力，并在可能的地方加强权限。Akamai还发布了一个PowerShell脚本，该脚本可以枚举所有可以创建dMSAs的非默认主体，并列出每个主体具有此权限的组织单位（OUs）。

“这个漏洞引入了一个以前未知且具有高影响的滥用路径，使得任何对组织单位（OU）具有创建子对象权限的用户都可以攻破域中的任何用户，并获得类似于执行DCSync攻击所使用的复制目录更改权限的类似权力，”戈登说。