Vulnerabilidade crítica no Windows Server 2025 expõe organizações a riscos de segurança grave
Pesquisadores da Akamai revelaram uma falha crítica no Windows Server 2025 que pode deixar organizações vulneráveis a ataques de escalonamento de privilégios. Denominada "BadSuccessor", a vulnerabilidade afeta ambientes de Active Directory e permite que atacantes silenciosamente obtenham controle total sobre um domínio, sem necessidade de explorar falhas tradicionais ou violar credenciais.
A raiz do problema está nas contas de serviço delegadas (dMSA), uma funcionalidade introduzida pela Microsoft para facilitar a gestão das contas de serviço. O relatório indica que o mecanismo de migração dessas contas pode ser manipulado para herdar permissões de qualquer conta do domínio, incluindo administradores, sem exigir privilégios elevados.
Escalonamento de privilégios sem tocar em contas privilegiadas
Com a falha, qualquer usuário com permissão para criar dMSAs pode vincular uma nova dMSA a qualquer outra conta do domínio, apenas modificando dois atributos específicos. Uma vez feito o vínculo, o Centro de Distribuição de Chaves (KDC) gera um ticket de autenticação, adicionando os privilégios da conta original à nova dMSA, sem validação adicional.
Essa vulnerabilidade pode ser explorada mesmo em domínios que não utilizam dMSAs ativamente, ampliando consideravelmente o alcance do problema, uma vez que a configuração padrão do sistema operacional já é suficiente para facilitar o ataque.
Microsoft reconhece o problema, mas sem correção disponível
A Akamai notificou a Microsoft sobre a falha em abril de 2025, recebendo uma resposta que a classificou como risco moderado. No entanto, especialistas da Akamai alertam que a permissão necessária para explorar essa vulnerabilidade não é comumente considerada de alto risco e que muitos ambientes permitem seu uso sem controle rigoroso.
Detecção e mitigação da vulnerabilidade BadSuccessor
Enquanto uma correção oficial não é disponibilizada, a Akamai apresentou recomendações para ajudar as organizações a detectar e mitigar possíveis abusos. A auditoria rigorosa da criação de dMSAs, o monitoramento de mudanças em atributos específicos e a revisão de autenticações são algumas das medidas sugeridas.
Além disso, recomenda-se restringir quem pode criar dMSAs e aplicar o princípio de menor privilégio na gestão de contas de serviço, a fim de prevenir o uso indevido dessa funcionalidade.
Reflexão final
A vulnerabilidade BadSuccessor serve como um alerta sobre como funcionalidades criadas para simplificar a administração podem se transformar em vetores de ataque, caso não sejam acompanhadas de controles adequados. Organizações que utilizam o Windows Server 2025 devem rever suas configurações e aplicar medidas proativas de supervisão, lembrando que comportamentos mal interpretados podem ser tão perigosos quanto falhas de segurança.
Fonte: Akamai
