Libera tu mente y alcanza tus metas
BadSuccessor: escalamiento de privilegios abusando de dMSA en Active Directory
sistema operativo Vulnerabilidades
BadSuccessor: escalamiento de privilegios abusando de dMSA en Active Directory
Yuval Gordon, investigador de Akamai, ha descubierto una técnica avanzada de escalamiento de privilegios en entornos Windows Server 2025 conocida como BadSuccessor. Esta técnica depende de una nueva funcionalidad legítima: las Cuentas de Servi...
sistema operativo Vulnerabilidades

BadSuccessor: escalamiento de privilegios abusando de dMSA en Active Directory

Yuval Gordon, investigador de Akamai, ha descubierto una técnica avanzada de escalamiento de privilegios en entornos Windows Server 2025 conocida como BadSuccessor. Esta técnica depende de una nueva funcionalidad legítima: las Cuentas de Servicio Administradas Delegadas (dMSA).

¿Qué son las dMSA?

Las Delegated Managed Service Accounts (dMSA) fueron introducidas en Windows Server 2025 como una mejora sobre las Managed Service Accounts (MSA) y Group Managed Service Accounts (gMSA). Su objetivo es permitir una gestión centralizada, segura y delegada de cuentas de servicio, incluyendo:

  • Rotación automática de contraseñas.
  • Restricción por máquina (sólo equipos autorizados pueden usarla).
  • Delegación de control para facilitar la administración sin comprometer el principio de privilegios mínimos.

Sin embargo, es precisamente esta capacidad de delegación la que abre la puerta a BadSuccessor.

La idea detrás de BadSuccessor

BadSuccessor se basa en el abuso de la funcionalidad que permite delegar la gestión de una dMSA. Mediante esta característica, es posible que una entidad (usuario o grupo) administre otra cuenta de servicio sin necesidad de privilegios directos de dominio.

El problema aparece cuando:

  1. Una cuenta de bajo privilegio es delegada para gestionar una dMSA privilegiada (por ejemplo, usada por un servicio con permisos elevados).
  2. Esta cuenta crea una nueva dMSA "sucesora" que se declara como reemplazo de la dMSA original.
  3. Active Directory acepta al sucesor como legítimo, permitiéndole heredar privilegios y usos de la cuenta original.

Este flujo puede usarse para escalar privilegios dentro del dominio sin explotar vulnerabilidades, sino simplemente configuraciones laxas de delegación.

Mitigación de BadSuccessor

Microsoft ha reconocido el problema, pero aún no ha publicado un parche. La mitigación recomendada incluye:

  • Contención inmediata
  • Restringir permisos de CreateChild sobre las OUs.
  • Auditar permisos sobre msDS-DelegatedManagedServiceAccount y evitar que usuarios no privilegiados creen dMSAs.
  • Bloquear o monitorear el uso de Start-ADServiceAccountMigration.

Auditoría y detección

  • Auditar la creación de dMSA: configurar una SACL para registrar la creación de nuevos objetos msDS-DelegatedManagedServiceAccount (Event ID 5137)
  • Supervisar modificaciones de atributos: configurar una SACL para modificaciones en el atributo msDS-ManagedAccountPrecededByLink (Event ID 5136)
  • Seguimiento de la autenticación de dMSA: cuando se genera un TGT para un dMSA e incluye la estructura KERB-DMSA-KEY-PACKAGE, el controlador de dominio registra el siguiente evento (Event ID 2946)

Mitigaciones recomendadas

  1. Auditar la delegación de control en cuentas de servicio: ninguna cuenta de bajo privilegio debería tener permisos sobre cuentas usadas por servicios críticos.
  2. Revisar el uso de sucesores en configuraciones de dMSA: documentar qué cuentas pueden sustituir a otras.
  3. Limitar la creación de nuevas dMSA a roles administrativos específicos y supervisados.
  4. Supervisar cambios en objetos dMSA mediante logging y SIEM.

Fuente: TARLogic | HackPlayers