Nieuwe kwetsbaarheid BadSuccessor in Windows Server 2025 helpt bij compromitteren van Active Directory-domeinen

Door /
Share on LinkedIn Share on WhatsApp

Kritieke kwetsbaarheid ontdekt in Windows Server 2025 door Akamai-onderzoekers

Onderzoekers van Akamai hebben een ernstige kwetsbaarheid ontdekt in Windows Server 2025 die organisaties blootstelt aan privilege-escaleer aanvallen. Dit betreft met name omgevingen met Active Directory.

In een recente publicatie heeft Yuval Gordon, een expert in cybersecurity bij Akamai, een ernstige beveiligingsfout onthuld die bekendstaat als BadSuccessor. Deze kwetsbaarheid stelt aanvallers in staat om stilletjes privileges te escaleren en volledige controle over een domein te verkrijgen, zelfs zonder gebruik te maken van traditionele fouten of het compromitteren van inloggegevens.

Een Privilege-Escalatie zonder aanpassingen aan bevoegde accounts

De kwetsbaarheid situeert zich in de werking van delegated Managed Service Accounts (dMSA), een nieuwe functionaliteit die door Microsoft werd geïntroduceerd om het beheer van service-accounts te vereenvoudigen. Volgens het rapport kan het migratiemechanisme van deze accounts worden gemanipuleerd om rechten van elk account, inclusief domeinbeheerders, te erven zonder dat hiervoor verhoogde bevoegdheden nodig zijn.

BadSuccessor maakt het mogelijk voor elke gebruiker met permissies om dMSA-objecten te creëren—iets wat in sommige omgevingen met slecht geconfigureerde delegatie gebruikelijk is—om een nieuwe dMSA te koppelen aan elk ander account binnen het domein (inclusief Domain Admins) door simpelweg twee attributen te wijzigen.

Impact: Van niet-bevoorrechte gebruiker naar volledige controle over het domein

De aanval werkt zelfs in domeinen die geen actieve dMSA-functionaliteiten gebruiken; het enige wat nodig is, is een domeincontroller met Windows Server 2025. Dit vergroot het risico aanzienlijk, aangezien dit een standaardconfiguratie is van het besturingssysteem.

Bovendien stelt de kwetsbaarheid aanvallers in staat om herbruikbare cryptografische sleutels te verkrijgen, wat leidt tot identiteitsfraude en langdurige toegang tot systemen en diensten binnen het domein.

Microsoft erkent probleem, maar geen patch beschikbaar

Akamai heeft Microsoft in april 2025 ingelicht over de kwetsbaarheid. Het bedrijf erkende het probleem, maar classificeerde het als een gematigd risico, met de opmerking dat er een specifieke toestemming (CreateChild) vereist is, wat naar hun mening al een hoog niveau van privileges impliceert. Tot nu toe is er geen patch uitgebracht.

Akamai waarschuwt echter dat deze toestemming doorgaans niet als een hoog risico wordt beschouwd en dat veel omgevingen het gebruik ervan toestaan zonder strikte controle, waardoor de dreiging moeilijk te detecteren is.

Hoe BadSuccessor te detecteren en te mitigeren

Terwijl de officiële oplossing in afwachting is, heeft Akamai een reeks aanbevelingen gepubliceerd om mogelijk misbruik te detecteren en te beperken:

Detectie:

  • Audite de creatie van dMSA’s via evenement ID 5137.
  • Monitor wijzigingen in het msDS-ManagedAccountPrecededByLink attribuut met evenement ID 5136.
  • Beoordelen van dMSA-authenticaties aan de hand van evenement ID 2946, die onthult wanneer een TGT wordt gegenereerd met het geërfde sleutel pakket.

Mitigatie:

  • Beperk strikt wie dMSA’s kan creëren, vooral binnen containers en Organisatorische Eenheden (OUs).
  • Gebruik audittools om alle gebruikers met CreateChild-rechten over dMSA’s te identificeren.
  • Pas het principe van het minimaal privilege toe op het beheer van service-accounts.

Conclusie

Het BadSuccessor-dossier vertegenwoordigt een voorbeeld van hoe nieuwe functies die zijn ontworpen om het beheer te vereenvoudigen, kunnen uitgroeien tot kritieke aanvalsvectors als ze niet gepaard gaan met passende controles. De mogelijkheid voor aanvallers om privileges te escaleren zonder wijzigingen aan beveiligingsgroepen of het genereren van detecteerbare waarschuwingen maakt het een bijzonder complexe uitdaging om te identificeren.

Organisaties die al gebruik maken van Windows Server 2025 moeten hun Active Directory-configuraties controleren, delegatie beperken en proactieve bewakingsmaatregelen implementeren. Zoals Akamai in zijn rapport benadrukt: "Een systeem kan worden geëxploiteerd zonder dat daar een kwetsbaarheid voor nodig is; alleen een verkeerd begrepen gedrag."

Bron: Akamai

Share on LinkedIn Share on WhatsApp
Scroll naar boven