Для критической уязвимости в Windows Server 2025 опубликован рабочий инструмент эксплуатации

Разработанный исследователем Логаном Гоинсом эксплойт SharpSuccessor полностью автоматизирует атаку, превращая её из сложной техники привилегированного доступа в доступный каждому инструмент. Теперь злоумышленникам достаточно иметь минимальные права в Active Directory, чтобы получить полномочия администратора домена.

Появление SharpSuccessor означает переход от теоретического сценария атаки к реальной угрозе. Учитывая, что уязвимость затрагивает архитектуру новой функции delegated Managed Service Account (dMSA), а Microsoft не выпустила срочное обновление, предприятия оказались в зоне риска. Эксплойт требует всего одного разрешения — права на создание объектов в любом контейнере Organizational Unit, что распространено в подавляющем большинстве доменов, согласно Securitylab.

BadSuccessor впервые была раскрыт исследователем Ювалем Гордоном из Akamai около недели назад. Уязвимость использует механизм миграции dMSA и позволяет создавать подставные аккаунты, которые могут полностью имитировать действия других пользователей. Всё это достигается за счёт манипуляции двумя атрибутами объектов Active Directory — msDS-ManagedAccountPrecededByLink и msDS-DelegatedMSAState. В результате создаётся dMSA, которому передаются полномочия выбранного пользователя, включая учётные записи с правами администратора домена.

SharpSuccessor автоматизирует весь этот процесс. Инструмент позволяет создать поддельный dMSA, указывая желаемого пользователя для имитации и путь к OU, где злоумышленник имеет базовые права. После этого атака продолжается с помощью Rubeus, инструмента для работы с билетами Kerberos , который позволяет последовательно получить билеты TGT и сервисные билеты с полными привилегиями. Завершается цепочка получением доступа к домен-контроллерам, включая возможность SMB-подключений.

Особую тревогу вызывает масштаб потенциальной эксплуатации: в 91% проверенных сред найдены обычные пользователи с достаточными правами для реализации BadSuccessor. Это объясняется тем, что уязвимость не требует высоких привилегий и опирается на стандартные настройки делегирования прав в Active Directory.

Несмотря на признание проблемы, Microsoft классифицировала её как уязвимость «умеренной серьёзности» и не выпустила оперативное исправление. Пока обновление не доступно, специалисты рекомендуют использовать скрипт Akamai — Get-BadSuccessorOUPermissions.ps — для выявления небезопасных Organizational Unit и ограничить возможность создания dMSA только доверенным администраторам.

Появление SharpSuccessor демонстрирует, насколько опасным может быть промедление в реагировании на уязвимости инфраструктурного уровня. То, что раньше требовало глубоких знаний и сложных манипуляций с объектами Active Directory и билетами Kerberos, теперь доступно в виде утилиты, которую можно запустить в один клик.