dMSA jsou novým cílem eskalace oprávnění AD

Systém Windows Server 2025 zavedl delegované spravované servisní účty (dMSA) pro zlepšení zabezpečení propojením ověřování služeb s identitami zařízení. Útočníci však již našli způsob, jak tuto novou funkci zneužít v nebezpečnou techniku eskalace oprávnění.

Útok BadSuccessor umožňuje útočníkům vydávat se za jakéhokoli uživatele – dokonce i za administrátory domény – bez spuštění tradičních upozornění. Zde je návod, jak to funguje, proč je tak nenápadné a co můžete udělat, abyste před ním byli o krok napřed.

Pochopení dMSA a jejich role v Active Directory

Jak se dMSA liší od gMSA

• dMSA (delegovaný spravovaný servisní účet) funguje jako servisní účet, ale je vázán na identitu jednoho počítače. Na rozdíl od gMSA, které jsou centrálně spravovány a mohou běžet na více serverech, dMSA dědí oprávnění zařízení, na kterém jsou vytvořeny.

Tento užší rozsah teoreticky zlepšuje bezpečnost – ale také vytváří nová rizika při migraci dMSA ze starších účtů.

Co je třeba vědět o migraci na dMSA

Účet dMSA lze vytvořit jako samostatný účet. Případně jej lze vytvořit jako náhradu za existující tradiční uživatelský servisní účet (nikoli spravovaný servisní účet ani gMSA) prostřednictvím migrace. To se obvykle provádí pomocí rutiny PowerShellu Start-ADServiceAccountMigration, která spustí operaci MigrateADServiceAccount LDAP RootDSE. Součástí tohoto procesu jsou dva klíčové atributy:

• msDS-ManagedAccountPrecededByLink — Odkazuje na původní uživatelský účet.
• msDS-DelegatedMSAState — Označuje stav migrace (např. připraveno nebo dokončeno)

Na konci migrace je starší servisní účet deaktivován, ale musí zůstat v Active Directory. Pokud je odstraněn, dMSA již nebude fungovat, protože mnoho služeb a konfigurací stále odkazuje na původní účet. Útočníci se na tyto atributy zaměřují technikou BadSuccessor, což je činí kritickými pro monitorování.

Jak mohou útočníci zneužít dMSA k eskalaci oprávnění v Active Directory

Tradiční techniky eskalace privilegií

Výzkum z reálného světa ukazuje, že eskalace oprávnění je často druhou fází útoku po počátečním přístupu. Jakmile útočníci získají kontrolu nad uživatelským účtem, hledají cesty, které jim umožní systematicky zvyšovat jeho oprávnění s cílem nakonec získat práva správce domény.

Mezi tradiční techniky eskalace oprávnění uvedené v katalogu MITRE ATT&CK patří Kerberoasting, AS?REP Roasting a vytváření Golden Ticketů. Útočníci dnes navíc často používají nástroje jako BloodHound k mapování cest eskalace oprávnění, které zahrnují zneužívání problémů, jako jsou špatné konfigurace, zděděná oprávnění nebo konstrukční chyby, k získání oprávnění na vysoké úrovni.

Eskalace oprávnění pomocí dMSA

Zavedení dMSA dává útočníkům další možnost eskalace oprávnění, ne proto, že by dMSA byly ze své podstaty nezabezpečené, ale proto, že útočníci mohou zneužít způsob, jakým jsou propojeny se staršími servisními účty. Úpravou atributů, jako je msDS-ManagedAccountPrecededByLink, lze dMSA nakonfigurovat tak, aby zosobňovala jiného uživatele a dědila přístup daného účtu. Tato práva lze tedy zneužít bez změny členství ve skupinách nebo ohrožení dalších přihlašovacích údajů. V důsledku toho mohou i sofistikované bezpečnostní balíčky tento vektor útoku přehlédnout, pokud se spoléhají pouze na tradiční monitorování ID událostí nebo sledování přiřazení oprávnění.

Jedním z běžných rizikových faktorů je nesprávné delegování kontroly nad organizačními jednotkami (OU). Pokud útočník naruší uživatelský účet s právy CreateChild nebo WriteProperty v organizační jednotce, může potenciálně vytvořit dMSA, která dědí oprávnění na úrovni domény. Společnost Akamai zjistila, že 91 % analyzovaných prostředí mělo alespoň jednu organizační jednotku, kde uživatelské účty měly dostatečná oprávnění k zneužití této techniky.

Útok BadSuccessor a proč je tak nebezpečný

BadSuccessor je nový vektor útoku, který zneužívá atributy migrace dMSA. Změnou atributu msDS-ManagedAccountPrecededByLink může útočník přimět dMSA, aby se vydával za privilegovaný účet.

Centrum distribuce klíčů Kerberos poté vydává tikety, jako by dMSA byl oním privilegovaným uživatelem – žádné změny skupin, žádné zjevné události přihlášení. Jinými slovy, útočníci získají přístup na administrátorské úrovni, který vypadá zcela legitimně.

Problém ještě zhoršuje skutečnost, že útoky BadSuccessor lze velmi obtížně odhalit. Nedochází ke změnám skupin ani k přihlašovací aktivitě z zosobněného uživatelského účtu. Ačkoli Microsoft nyní poskytuje protokoly pro relevantní změny atributů ve schématu Windows 2025 (verze 91), většina auditních nástrojů zatím není nakonfigurována tak, aby je označovala. Stručně řečeno, tato technika pravděpodobně zůstane bez povšimnutí, pokud detekční nástroje nebudou konkrétně hledat abnormální konfigurace dMSA nebo chování zosobnění v požadavcích na tikety Kerberos. Forenzní kontrola je také složitá, protože název dMSA nemusí odrážet správnou úroveň oprávnění, pod kterou pracuje.

Kromě umožnění eskalace oprávnění mohou útoky BadSuccessor umožnit útočníkům získat dlouhodobý přístup k prostředí, což se nazývá perzistence. Perzistence je klíčová pro aktéry s pokročilými perzistentními hrozbami (APT). V Active Directory jsou pokročilé techniky perzistence ty, které přežijí resetování hesla, restartování a standardní nápravná opatření. Útok BadSuccessor se rozhodně kvalifikuje: Jakmile je dMSA nastaven v migračním režimu s úspěšným účtem a jsou mu vydány lístky Kerberos, může pokračovat v provozu, i když je původní účet deaktivován. Jinými slovy, dMSA zneužité tímto způsobem poskytují „zadní vrátka s odznakem“ – účet, který se jeví jako legitimní, požaduje lístky Kerberos jako jakýkoli běžný servisní účet a funguje v rámci definovaných oprávnění.

 Nejlepší postupy pro obranu proti zneužívání dMSA

Robustní obrana proti zneužívání dMSA pro eskalaci oprávnění vyžaduje vícevrstvou strategii zahrnující prevenci i detekci. Mezi klíčové osvědčené postupy patří následující:

• Kontrolujte oprávnění. Pravidelně auditujte, kdo má práva CreateChild, WriteProperty, WriteDACL (úprava oprávnění), Generic All (úplný přístup) a WriteOWner (změna vlastníka) na všech organizačních jednotkách, a důsledně dodržujte princip nejnižších oprávnění, abyste zmenšili oblast pro útok.
• Vzdělávejte týmy. Zajistěte, aby všichni administrátoři služby AD chápali, jak fungují dMSA a jaká rizika s sebou nesou.
• Zůstaňte informováni. Vzhledem k tomu, že společnost Microsoft neustále vylepšuje funkci dMSA, musí bezpečnostní týmy sledovat oficiální dokumentaci a komunitní výzkum, aby pochopily vznikající rizika. Zdroje, jako je dokumentace společnosti Microsoft k dMSA a nejnovější analýza společnosti SpecterOps týkající se zmírňování rizik BadSuccessor, poskytují cenné rady.
• Monitorování změn. Tradiční indikátory kompromitace (IoC), jako jsou selhání přihlášení, nejsou dostatečné k odhalení útoků dMSA, jako je BadSuccessor. Organizace potřebují nástroje pro monitorování v reálném čase, které dokáží označit změny atributů souvisejících s dMSA. Robustní přístup zahrnuje:
  • Stanovení základní linie legitimních dMSA a jejich očekávaného chování
  • Sledování neočekávaného vytváření nebo úprav dMSA
  • Monitorování vydávání Kerberos tiketů pro dMSA
  • Kontrola protokolů migrace dMSA , které jsou nyní k dispozici v novějších sestaveních systému Windows Server – viz Průvodce protokolováním událostí dMSA od společnosti Microsoft
• Přijměte strategii Zero Trust. V širším smyslu integrujte zabezpečení dMSA do širší iniciativy Zero Trust. Zacházejte s dMSA jako s identitami s vysokou hodnotou, nejen jako s účty infrastruktury. Implementujte stejné kontroly, jaké používáte pro administrativní účty, včetně přísného vynucování minimálních oprávnění, analýzy ověřovací aktivity a průběžného sledování chování.

Nástroje pro efektivní detekci a obranu

Řešení Netwrix Identity Threat Detection & Response poskytuje komplexní ochranu před útoky s eskalací oprávnění založenými na dMSA prostřednictvím integrovaných bezpečnostních nástrojů, které spolupracují na vyhodnocení, prevenci a detekci hrozeb:

Jak Netwrix zastavuje útoky BadSuccessor

• Rychlé nalezení rizikových organizačních jednotek: Netwrix PingCastle přesně určuje, kde mají uživatelé nebezpečná práva k vytváření dMSA, abyste je mohli opravit dříve, než útočníci zaútočí.
• Blokování exploitů v reálném čase: Netwrix Threat Prevention zastavuje neoprávněné změny atributů dMSA – blokuje útoky BadSuccessor u zdroje.
• Zachyťte, co ostatní přehlížejí: Netwrix Threat Manager monitoruje ticketing Kerberos a migrace dMSA, aby zjistil známky zosobnění, a upozorní vás dříve, než útočníci eskalují oprávnění.

Tyto nástroje vám společně poskytují přehled, kontrolu a automatizovanou obranu proti technikám eskalace oprávnění stealth, jako je BadSuccessor.

Závěr

Delegovaný spravovaný servisní účet je nová výkonná funkce systému Windows Server, která může zlepšit zabezpečení i spravovatelnost. Útočníci však mohou použít dMSA k eskalaci oprávnění ve službě Active Directory. Objev BadSuccessor skutečně zdůrazňuje potřebu implementovat nové funkce s náležitou péčí, včetně sady osvědčených nástrojů pro zajištění silného zabezpečení a rychlé detekce hrozeb.

Nejčastější dotazy k dMSA pro eskalaci oprávnění v Active Directory

Co je útok BadSuccessor?

BadSuccessor je technika, která zneužívá dMSA k eskalaci oprávnění v Active Directory. Může umožnit účtu ovládanému útočníkem vydávat se za jiné uživatele v Active Directory, včetně privilegovaných uživatelů.

Jak funguje útok BadSuccessor?

Útočník vytvoří nebo upraví dMSA a nastaví jeho atributy migrace tak, aby odkazovaly na privilegovaného uživatele. V důsledku toho KDC vydá Kerberos tikety, které udělí dMSA tato zvýšená oprávnění, což umožňuje nenápadné zosobnění.

Proč je tolik prostředí zranitelných?

Podle společnosti Akamai mělo 91% reálných prostředí AD alespoň jednu organizační jednotku, kde měli neprivilegovaní uživatelé oprávnění CreateChild nebo Write – což stačilo k provedení techniky BadSuccessor.

Co mohou organizace udělat pro zmírnění svých rizik?

Mezi osvědčené postupy pro zmírnění rizik patří omezení oprávnění CreateChild a Write v organizačních jednotkách, průběžné sledování změn atributů dMSA a proaktivní identifikace a oprava rizikových konfigurací.

Plánuje Microsoft toto opravit?

Společnost Microsoft klasifikovala problém s používáním dMSA pro eskalaci oprávnění v Active Directory jako středně závažný. I když může být vyvinuta oprava, organizace by měly okamžitě zavést robustní strategie prevence a detekce hrozeb.

Zdroj: Netwrix