Akamai individua "BadSuccessor" per l'elevation dei privilegi su Windows Server

Akamai individua “BadSuccessor” per l’elevation dei privilegi su Windows Server

Mag 26, 2025 Marina Londei Approfondimenti, Hacking, Hacking, In evidenza, Minacce, Minacce, News, RSS 0

I ricercatori di Akamai hanno individuato di recente “BadSuccessor“, una tecnica di attacco che sfrutta la feature dei delegated Managed Service Account (dMSA) di Windows Server 2025 per effettuare l’elevation dei privilegi.

Il dSMA è un account di servizio gestito delegato che viene utilizzato per consentire agli utenti di applicare modifiche minime all’applicazione, disabilitando le password dell’account del servizio originale. Solitamente questo account viene usato per rimpiazzare gli account legacy esistenti, di fatto effettuando una migrazione dei permessi del profilo legacy.

Analizzando il processo di migrazione, i ricercatori di Akamai hanno individuato una vulnerabilità che consente a un attaccante di prendere il controllo del dominio effettuando un’escalation dei privilegi. “Tutto ciò che serve a un attaccante per eseguire questo attacco è un’autorizzazione benigna su qualsiasi unità organizzativa del dominio, un’autorizzazione che spesso passa inosservata” ha affermato Yuval Gordon, ricercatore di sicurezza di Akamai.

Il problema è stato riscontrato durante la fase di autenticazione del processo di migrazione: in questo step viene generato il PAC, un certificato di attribuzione dei certificati. Nel caso della migrazione al dMSA, il PAC include non solo l’ID del nuovo account, ma anche quello dell’account originale e di tutti i gruppi a cui apparteneva.

I ricercatori hanno dimostrato che è possibile manipolare gli attributi della migrazione per ottenere i permessi di qualsiasi altro account, non solo quello di partenza, quindi anche quelli con privilegi elevati. La tecnica, denominata “BadSuccessor”, funziona con qualsiasi tipo di account, inclusi i Domain Admins.

Quel che è peggio è che un attaccante non ha necessità di effettuare un’effettiva migrazione per eseguire l’attacco: gli basta impostare due specifici attributi dell’account per definire l’ID dell’account “padre” e fingere che sia avvenuta una migrazione. Per di più non serve avere permessi sull’account di partenza, ma è sufficiente possedere i permessi di scrittura sugli attributi di un dMSA. Nel caso non ci fossero account di tipo dMSA, gli attaccanti potrebbero crearne di nuovi su cui hanno tutti i permessi e modificarli a loro piacimento per eseguire la tecnica.

La risposta di Microsoft a BadSuccessor

Il team di Akamai ha informato Microsoft della nuova tecnica. Pur riconoscendo la validità di BadSuccessor, la compagnia ritiene che non abbia un rischio così elevato da richiedere un intervento urgente.

“Secondo Microsoft, un exploit di successo implica che l’attaccante abbia già dei permessi specifici sull’oggetto dMSA, il che è indicativo di privilegi elevati“. I ricercatori hanno risposto evidenziando che è possibile per un attaccante creare un nuovo oggetto dMSA, ma Microsoft ha risposto citando della documentazione tecnica su CreateChild per evidenziare rischi e best practice di utilizzo.

Il team di Akamai si è detta in disaccordo con la risposta di Microsoft e ritiene che la compagnia non abbia realmente compreso le implicazioni di BadSuccessor. “Questa vulnerabilità introduce un exploit precedentemente sconosciuto e ad alto impatto che permette a qualsiasi utente con i permessi CreateChild su un’unità organizzativa di compromettere qualsiasi utente del dominio e ottenere un potere simile al privilegio Replicating Directory Changes utilizzato per eseguire attacchi DCSync. Inoltre, non abbiamo trovato alcuna indicazione che le pratiche o gli strumenti attuali del settore segnalino l’accesso a CreateChild – o, più specificamente, CreateChild per i dMSA – come un problema critico. Riteniamo che ciò evidenzi la furtività e la gravità del problema“.

Per mitigare gli impatti Akamai consiglia di controllare quali gruppi di account possono creare dMSA e limitare questo permesso soltanto agli utenti amministratori.

Condividi l'articolo