Active Directory   Falha   Microsoft   Segurança   Tecnologia   Windows   Windows Server  

BadSuccessor: Falha Crítica no Windows Server 2025 que Ameaça o Active Directory

  • Home »
  • Blog
  • BadSuccessor: Falha Crítica no Windows Server 2025 que Ameaça o Active Directory
0 Comentários
blog

 

BadSuccessor: Falha Crítica no Windows Server 2025 que Ameaça o Active Directory

Em maio de 2025, pesquisadores da Akamai descobriram uma vulnerabilidade alarmante batizada de BadSuccessor no Windows Server 2025. Essa falha explora o recurso Delegated Managed Service Account (dMSA) do Active Directory, permitindo que invasores herdem privilégios de contas de serviço antigas sem precisar de acesso direto a elas.

Como Funciona o BadSuccessor

  1. Migração Fraudulenta de dMSA: o atacante simula a migração de um service account legado para um novo dMSA.

  2. Herança de Privilégios: o objeto dMSA recém-criado herda todas as permissões da conta original, que pode incluir direitos de administrador de domínio.

  3. Configuração Padrão Explorada: basta ter o Active Directory configurado com as configurações padrão do Windows Server 2025 – essa é a realidade de 91% dos ambientes testados pela Akamai.

Impactos e Riscos

  • Comprometimento Total do AD: com privilégios de alto nível, invasores podem criar contas, alterar permissões e até mesmo implantar ransomware.

  • Dificuldade de Detecção: a movimentação acontece internamente ao AD, tornando logs e alertas tradicionais pouco efetivos.

  • Sem Patch Disponível: até o momento, a Microsoft não liberou correções, apenas orientações sobre permissões.

Recomendações de Mitigação

  • Limitar Criação de dMSAs: restrinja quem pode criar objetos dMSA no seu domínio.

  • Revisar Permissões de OU: verifique e ajuste as permissões de todas as Unidades Organizacionais que permitam gerenciamento de objetos de serviço.

  • Monitorar Scripts de Audit: utilize o script PowerShell disponibilizado pela Akamai para identificar dMSAs vulneráveis:

    powershell:
    Install-Module -Name “BadSuccessorScanner”
    Import-Module BadSuccessorScanner
    Find-BadSuccessorVulnerabilities -Verbose

  • Segregar Funções: adote o princípio de menor privilégio e separe funções críticas em contas diferentes.

  • Fique de Olho em Atualizações: acompanhe os comunicados da Microsoft para aplicar patches assim que disponíveis.

“A segurança do Active Directory é fundamental para a resiliência de toda a infraestrutura corporativa. A falha BadSuccessor nos lembra da importância de políticas rígidas de permissão.” – Equipe WeCoded

 

Compartilhe este artigo
DEIXE UM COMENTÁRIO
0 0 votos
Classificação do artigo
Se inscrever
Notificar de
guest
0 Comentários
Mais antigo
O mais novo Mais votados
Comentários em linha
Ver todos os comentários

ARTIGOS RELACIONADOS

Continue navegando em nosso blog.

ASSINE NOSSO NEWSLETTER

Enviamos notícias, dicas e ofertas.


    hosting