São Paulo — InkDesign News — Pesquisadores da Akamai revelaram uma vulnerabilidade crítica no recurso dMSA do Windows Server 2025, permitindo que atacantes comprometam qualquer usuário do Active Directory (AD) sem a necessidade de permissões administrativas iniciais.
Incidente e vulnerabilidade
O exploit, conhecido como ataque BadSuccessor, aproveita-se de uma nova funcionalidade do Windows Server 2025 chamada contas de serviço gerenciadas delegadas (dMSAs). Essas contas foram projetadas para otimizar o gerenciamento de serviços ao permitir que uma nova dMSA herde permissões de uma conta mais antiga que substitui. Entretanto, segundo o estudo de Yuval Gordon, um importante pesquisador da Akamai, uma falha de segurança crucial foi identificada nesse processo. Um atacante pode simular essa migração ao modificar dois atributos em um objeto dMSA: msDS-ManagedAccountPrecededByLink e msDS-DelegatedMSAState. Ao referenciar um usuário alvo no primeiro atributo e ajustar o segundo para “2” (indicado como a conclusão da migração), um invasor consegue enganar o sistema, fazendo com que sua dMSA obtenha todas as permissões do usuário alvo, incluindo contas com privilégios elevados como Domínio Administrador.
Impacto e resposta
A análise da Akamai revelou que 91% dos ambientes testados permitiram que usuários fora do grupo de administradores de domínio executassem esse ataque, evidenciando um potencial de comprometimento amplamente disseminado entre organizações que utilizam Active Directory. Embora a Microsoft tenha reconhecido o problema após um relatório apresentado em 1º de abril de 2025, não há um patch disponível no momento. A avaliação da Microsoft classifica a falha como de severidade moderada, argumentando que a exploração inicial requer permissões em um objeto dMSA. Contudo, os pesquisadores discordam fortemente, afirmando que a possibilidade de criar uma nova dMSA – um tipo de permissão frequentemente concedido a usuários – pode levar a uma completa violação de domínio. “Esta vulnerabilidade introduz um caminho de abuso de alto impacto desconhecido, tornando possível que qualquer usuário com permissões de CreateChild em uma Unidade Organizacional (OU) comprometa qualquer usuário no domínio”, alertou Gordon em seu postagem no blog.
Mitigações recomendadas
Com a ausência de uma correção imediata da Microsoft, as organizações são encorajadas a adotar medidas proativas para reduzir sua exposição a essa vulnerabilidade. Recomendações incluem a monitorização de novos objetos dMSA, a modificação do atributo msDS-ManagedAccountPrecededByLink, o rastreamento de eventos de autenticação de dMSA e a revisão de permissões nas Unidades Organizacionais (OUs). À medida que o Windows Server 2025 se torna mais amplamente adotado, é essencial que as organizações priorizem a compreensão e a mitigação dos riscos associados às suas novas funcionalidades.
Em suma, os riscos residuais associados à vulnerabilidade BadSuccessor exigem atenção contínua. Organizações devem ficar alertas e preparar-se para a eventual implementação de patches e orientações adicionais por parte da Microsoft.
Fonte: (Hack Read – Segurança Cibernética)
