Detecciones

Permisos de dMSA peligrosos de BadSuccessor

critical

Idioma:

Descripción

BadSuccessor es una vulnerabilidad de escalamiento de privilegios en Active Directory, que se introdujo con la funcionalidad de cuentas de servicios administradas delegadas (dMSA) en Windows Server 2025. Permite que los atacantes creen o modifiquen una dMSA para heredar los permisos de un objetivo con privilegios elevados, lo que puede llevar a la vulneración de todo el dominio. La explotación requiere que al menos haya un controlador de dominio de Windows Server 2025 en el dominio.

Solución

A mayo de 2025, Microsoft no había corregido la vulnerabilidad BadSuccessor, pero trabajaba en una corrección. Mientras tanto, como solución temporal, las organizaciones deberían restringir los permisos de creación y modificación de dMSA a los usuarios de confianza o considerar la posibilidad de disminuir el nivel de los controladores de dominio de Windows Server 2025.

Consulte también

BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory

Delegated Managed Service Accounts overview

Detalles del indicador

Nombre: Permisos de dMSA peligrosos de BadSuccessor

Nombre en clave: C-BAD-SUCCESSOR

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Control de acceso y permisos

Información de MITRE ATT&CK:

Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1078 - Valid Accounts (texto en inglés)

Herramientas conocidas de atacantes

mpgn: NetExec

Logan Goins: SharpSuccessor