低權限用戶可濫用dMSA功能實現域管理員提權

網絡安全研究人員發現，在默認配置的Windows Server 2025 Active Directory（AD，活動目錄）環境中存在一條新的攻擊路徑。攻擊者可利用該漏洞危害環境中的任意用戶，最終導致整個域控系統淪陷。

Akamai研究員Yuval Gordon在最新報告中指出："該問題可能影響絕大多數依賴AD架構的企業組織。在我們檢測的91%環境中，都發現了域管理員組之外具備攻擊所需權限的用戶。"該攻擊利用了Windows Server 2025引入的"委托托管服務賬戶"（Delegated Managed Service Accounts，dMSA）新特性——該功能本是為防范Kerberoasting攻擊（攻擊者從AD環境中提取服務賬戶憑證哈希后進行離線破解）而設計。

研究團隊發現，dMSA賬戶從被替代服務賬戶繼承權限時，其實現方式允許無縫遷移和使用先前頒發的票據，卻未執行足夠嚴格的驗證。這使得攻擊者可以成功冒充包括域管理員在內的任何用戶。微軟雖承認該問題，但將其評定為中等嚴重性，認為無需緊急修復，理由是CreateChild權限相關風險已有文檔說明。但Akamai研究人員指出，當前行業標準實踐或工具均未將此權限視為關鍵風險。

不完整的dMSA遷移過程欺騙密鑰分發中心

創建dMSA賬戶時，它會繼承被替代服務賬戶的權限。這個遷移過程涉及更新dMSA對象屬性的多個步驟，包括：

• msDS-DelegatedMSAState：標記遷移狀態（未知/進行中/已完成）
• msDS-ManagedAccountPrecededByLink：標識被替代賬戶
• msDS-GroupMSAMembership：指定可認證為該賬戶的主體

遷移完成后，任何嘗試以舊服務賬戶認證的設備都會收到包含KERB-SUPERSEDED-BY-USER字段的錯誤信息，提示其改用dMSA重新認證。此時AD使用的Kerberos協議中的密鑰分發中心（KDC）會為dMSA賬戶生成特權屬性證書（PAC），其中包含被替代賬戶及其關聯組的安全標識符（SID），實質上授予新賬戶所有舊賬戶權限。

漏洞關鍵在于：攻擊者可以任意修改自建dMSA賬戶的這兩個屬性，誘使KDC誤判任意服務賬戶已完成遷移。Akamai團隊將這種技術命名為"BadSuccessor"，并強調："攻擊者只需控制dMSA對象即可掌控整個域，無需實際遷移過程或驗證機制。"

未部署dMSA的環境同樣面臨風險

研究團隊警告，即使企業尚未創建任何dMSA賬戶，攻擊者仍可利用OU（組織單元）中的CreateChild權限自行創建。默認情況下，dMSA賬戶存儲在托管服務賬戶容器，但通過path參數也可在OU內創建。具備OU內CreateChild權限的低權限用戶創建dMSA后，可：

• 修改ManagedAccountPrecededByLink屬性指向目標賬戶（如域管理員）
• 將msDS-DelegatedMSAState設為已完成狀態（值2）
• 通過KDC認證獲取包含目標賬戶所有權限的會話票據

研究人員指出："僅需修改兩個屬性，新建對象就能繼承全部特權。我們未更改任何組成員關系，未提升現有賬戶權限，也未觸發傳統提權警報。"

攻擊者還能獲取加密憑證

更嚴重的是，攻擊者不僅能獲取目標賬戶權限的會話票據，還能通過票據中的KERB-DMSA-KEYPACKAGE結構獲取該賬戶的加密密碼（存儲在previous-keys字段）。雖然新建dMSA本不應存在"歷史密鑰"，但為保持遷移前頒發的會話票據有效性，系統會繼承被替代賬戶的密鑰——這使得攻擊者可能獲取域內所有用戶和計算機的密鑰。

緩解措施建議

目前微軟尚未發布補丁，Akamai建議企業采取以下措施：

(1) 使用其提供的PowerShell腳本識別具備dMSA創建權限的主體及對應OU

(2) 將該權限嚴格限制于可信管理員賬戶

(3) 部署系統訪問控制列表（SACL）監控以下行為：

• 新建msDSDelegatedManagedServiceAccount對象
• 修改msDSManagedAccountPrecededByLink屬性
• 為含KERB-DMSA-KEY-PACKAGE結構的dMSA生成票據授予票據（TGT）