Новости Админ-доступ в два клика: эксплойт для Windows Server 2025 в открытом доступе

[NewsMaker]

SharpSuccessor превращает обычного юзера в админа домена за один клик.

---

---

Для Для просмотра ссылки Войди или Зарегистрируйся критической уязвимости в Windows Server 2025 под названием BadSuccessor опубликован рабочий инструмент эксплуатации. Разработанный исследователем Логаном Гоинсом эксплойт Для просмотра ссылки Войди или Зарегистрируйся полностью автоматизирует атаку, превращая её из сложной техники привилегированного доступа в доступный каждому скрипт. Теперь злоумышленникам достаточно иметь минимальные права в Active Directory, чтобы получить полномочия администратора домена.

Появление SharpSuccessor означает переход от теоретического сценария атаки к реальной угрозе. Учитывая, что Для просмотра ссылки Войди или Зарегистрируйся затрагивает архитектуру новой функции delegated Managed Service Account (dMSA), а Microsoft не выпустила срочное обновление, предприятия оказались в зоне риска. Эксплойт требует всего одного разрешения — права на создание объектов в любом контейнере Organizational Unit, что распространено в подавляющем большинстве доменов.

BadSuccessor Для просмотра ссылки Войди или Зарегистрируйся исследователем Ювалем Гордоном из Akamai около недели назад. Уязвимость использует механизм миграции dMSA и позволяет создавать подставные аккаунты, которые могут полностью имитировать действия других пользователей. Всё это достигается за счёт манипуляции двумя атрибутами объектов Для просмотра ссылки Войди или Зарегистрируйся — msDS-ManagedAccountPrecededByLink и msDS-DelegatedMSAState. В результате создаётся dMSA, которому передаются полномочия выбранного пользователя, включая учётные записи с правами администратора домена.

SharpSuccessor автоматизирует весь этот процесс. Инструмент позволяет создать поддельный dMSA, указывая желаемого пользователя для имитации и путь к OU, где злоумышленник имеет базовые права. После этого атака продолжается с помощью Rubeus, инструмента для работы с Для просмотра ссылки Войди или Зарегистрируйся , который позволяет последовательно получить билеты TGT и сервисные билеты с полными привилегиями. Завершается цепочка получением доступа к домен-контроллерам, включая возможность SMB-подключений.

Особую тревогу вызывает масштаб потенциальной эксплуатации: в 91% проверенных сред найдены обычные пользователи с достаточными правами для реализации BadSuccessor. Это объясняется тем, что уязвимость не требует высоких привилегий и опирается на стандартные настройки делегирования прав в Active Directory.

Несмотря на признание проблемы, Microsoft классифицировала её как уязвимость «умеренной серьёзности» и не выпустила оперативное исправление. Пока обновление не доступно, специалисты рекомендуют использовать скрипт Akamai — Для просмотра ссылки Войди или Зарегистрируйся — для выявления небезопасных Organizational Unit и ограничить возможность создания dMSA только доверенным администраторам.

Появление SharpSuccessor демонстрирует, насколько опасным может быть промедление в реагировании на уязвимости инфраструктурного уровня. То, что раньше требовало глубоких знаний и сложных манипуляций с объектами Active Directory и билетами Kerberos, теперь доступно в виде утилиты, которую можно запустить в один клик.