Falha crítica no Windows Server 2025 permite que hackers comprometam qualquer conta do Active Directory

Uma falha crítica de escalonamento de privilégios foi identificada no Windows Server 2025, permitindo que hackers explorem uma funcionalidade recentemente introduzida para comprometer qualquer usuário do Active Directory (AD), inclusive administradores de domínio. A vulnerabilidade está relacionada ao recurso Delegated Managed Service Account (dMSA), que, segundo pesquisadores da Akamai, funciona com a configuração padrão do sistema e é de fácil execução.

O dMSA foi criado pela Microsoft como uma alternativa mais segura aos antigos service accounts, com o objetivo de mitigar ataques do tipo Kerberoasting. No entanto, a Akamai demonstrou que o mecanismo pode ser explorado em um processo de "migração simulada", no qual o invasor consegue transferir as permissões de um service account antigo para um dMSA sem precisar de acesso ao serviço original. A falha — batizada de BadSuccessor — decorre do fato de que, durante a autenticação via Kerberos, o certificado de atributos de privilégios (PAC) inserido no ticket de autenticação inclui os identificadores de segurança (SIDs) tanto do dMSA quanto da conta substituída e seus grupos associados.

Isso significa que um invasor que possua apenas permissões para editar atributos de um dMSA — o que é comum em muitos ambientes corporativos — pode simular uma migração e herdar os privilégios da conta anterior, inclusive acesso irrestrito ao domínio. De acordo com a Akamai, em 91% dos ambientes analisados havia usuários fora do grupo de administradores de domínio com permissões suficientes para realizar esse ataque.

Apesar da gravidade, a Microsoft classificou o problema como de severidade moderada, alegando que a exploração bem-sucedida exige permissões específicas sobre o objeto dMSA, caracterizando uma elevação de privilégio. A empresa está trabalhando em uma correção, mas ainda não há patch disponível. Enquanto isso, a Akamai recomenda restringir rigorosamente quem pode criar dMSAs e reforçar os controles de permissão. Para ajudar na mitigação, a empresa publicou um script PowerShell que identifica todos os usuários com essa capacidade e os Unidades Organizacionais (OUs) nas quais eles têm essa permissão.

Segundo o pesquisador Yuval Gordon, da Akamai, “essa vulnerabilidade introduz um caminho de abuso inédito e de alto impacto, permitindo que qualquer usuário com permissão de CreateChild sobre uma OU comprometa qualquer conta do domínio — com um poder semelhante ao utilizado em ataques DCSync para replicação do diretório.”

Via - THN