Detecciones

Permisos de dMSA peligrosos de BadSuccessor

critical

Idioma:

Descripción

BadSuccessor es una vulnerabilidad de escalamiento de privilegios en Active Directory, que se introdujo con la funcionalidad de cuentas de servicios administradas delegadas (dMSA) en Windows Server 2025. Permite que los atacantes creen o modifiquen una dMSA para heredar los permisos de un objetivo con privilegios elevados, lo que puede llevar a la vulneración de todo el dominio. La explotación requiere que al menos haya un controlador de dominio de Windows Server 2025 en el dominio.

Solución

Microsoft aplicó un parche a la vulnerabilidad BadSuccessor como CVE-2025-53779. Sin embargo, dado que la técnica aún puede usarse para la persistencia o el movimiento lateral en sistemas donde se aplicaron parches, las organizaciones deben aplicar el parche y restringir los permisos de creación y modificación de dMSA a los usuarios de confianza.

Consulte también

BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory

BadSuccessor Is Dead, Long Live BadSuccessor(?)

Delegated Managed Service Accounts overview

Detalles del indicador

Nombre: Permisos de dMSA peligrosos de BadSuccessor

Nombre en clave: C-BAD-SUCCESSOR

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Control de acceso y permisos

Información de MITRE ATT&CK:

Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1078 - Valid Accounts (texto en inglés)

Herramientas conocidas de atacantes

mpgn: NetExec

Logan Goins: SharpSuccessor