1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威

BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威

セキュリティニュース

投稿日時: 更新日時:

BadSuccessor:Windows Server 2025の新機能dMSAを悪用したActive Directory支配の脅威

2025年5月、Akamaiのセキュリティ研究者Yuval Gordon氏が発見したWindows Server 2025における新たな特権昇格の脆弱性「BadSuccessor」が、セキュリティ業界で大きな議論を呼んでいます。この脆弱性は、Microsoftが新たに導入した「委任型マネージドサービスアカウント(delegated Managed Service Accounts/dMSA)」の仕様を悪用するもので、ドメイン管理者(Domain Admins)を含む任意のADアカウントを乗っ取ることが可能とされます。

脆弱性の本質:dMSAの継承機能が攻撃に悪用される

Windows Server 2025から導入されたdMSAは、従来のレガシーサービスアカウントの置き換えを目的とした新しいアカウント形式で、従来アカウントからの「移行(マイグレーション)」によって、権限や設定を引き継ぐことが可能です。

問題は、この「マイグレーション機構」を疑似的に模倣することで、攻撃者が管理者レベルの権限を持つアカウントに成り済ませることができるという点にあります。特に以下の2つの属性を設定するだけで攻撃が成立します:

  • msDS-ManagedAccountPrecededByLink:引き継ぐ対象となるアカウントの識別情報

  • msDS-DelegatedMSAState:移行完了状態(値=2)に設定

このように、実際のマイグレーションを行わずとも、KerberosのPAC(Privilege Attribute Certificate)において該当ユーザーのグループSIDや権限が複製され、実質的な権限の継承が行われるのです。

攻撃の成立条件と現実性

Akamaiの調査によると、91%の企業環境において、非管理者ユーザーがOU(組織単位)上で「CreateChild」権限を保有していることが判明しました。これはつまり、多くの環境で任意のdMSAを作成し、任意のアカウントを「継承」することが可能であるということを意味します。

この攻撃は、対象アカウントのパスワード変更やグループメンバーシップの改ざんを伴わないため、一般的な権限昇格の検知ロジックをすり抜けやすいという点でも非常に危険です。

Microsoftの対応と評価の相違

Akamaiはこの問題を2025年4月1日にMicrosoftに報告。Microsoftは問題の正当性を認めたものの、「中程度(Moderate)」の深刻度と評価し、「将来的にパッチを提供予定」としています。

この判断に対してAkamaiは強く反発し、「CreateChild」権限が広範に存在する現状では、攻撃実現性が非常に高く、現実的な脅威であると主張しています。Microsoftがこの種の危険な挙動を見逃していることは、過去にも同様の指摘があったとし、責任ある公開の一環として詳細な攻撃手法を公開しました。

攻撃シナリオと技術詳細

この攻撃「BadSuccessor」は以下のような流れで実行されます:

  1. 攻撃者がOUに対して「CreateChild」権限を保有している

  2. 任意のOUに新しいdMSAを作成する

  3. 対象アカウント(例:Administrator)をmsDS-ManagedAccountPrecededByLinkに設定

  4. msDS-DelegatedMSAStateを「2(移行完了)」に設定

  5. RubeusなどのツールでKerberos TGTを取得

  6. TGTのPACには、AdministratorのグループSID(Domain Admins等)が含まれる

このPACにより、dMSAは「実質的に」ドメイン管理者として振る舞うことが可能となります。

さらに深刻なのは、Kerberos TGTに含まれるKERB-DMSA-KEY-PACKAGE構造から、対象アカウントの暗号鍵(過去のパスワード由来)も取得可能な点です。これにより、認証情報の窃取(クレデンシャルダンピング)まで行える可能性があります。

検知と緩和策

現在パッチが存在しないため、組織側の防御措置が急務です。Akamaiは以下の対策を推奨しています:

  • dMSA作成の監査ログ(イベントID 5137)を有効化

  • 属性変更の監視(イベントID 5136)、特にmsDS-ManagedAccountPrecededByLinkの変更

  • dMSAのTGT生成時(イベントID 2946)の監視

  • OU上のCreateChild権限の精査と制限

また、Akamaiは非特権ユーザーによるdMSA作成権限の所在を可視化するスクリプトも公開しています。

まとめ

「BadSuccessor」問題は、Windows Server 2025の新機能dMSAが持つ意図しない仕様を悪用した新たな権限昇格手法です。表面的には新機能の移行支援ですが、内部的には「任意のユーザーに化けることができる」設計になっており、極めて危険です。

この問題は、CreateChild権限の過小評価が招いた典型例でもあり、Active Directoryにおける「隠れた特権」の危険性を改めて浮き彫りにしています。企業は早急にOUの権限管理体制を見直し、dMSAに関する監査体制を強化する必要があります。

参照

Akamai公式ブログ:BadSuccessor技術詳細

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開MongoDB、複数のDoS・認証バイパス 脆弱性の修正パッチを公開 WordPressで人気のプラグインの脆弱性が公開僅か90分でサイバー攻撃に悪用WordPressで人気のプラグインの脆弱性が公開僅か90分でサイバー攻撃に悪用 Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) Windows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能にWindows Update の欠陥で「パッチ解除」が行われるダウングレード攻撃が可能に SSL.comの脆弱性により、不正なSSL証明書が発行されるSSL.comの脆弱性により、不正なSSL証明書が発行される ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) OpenSSHが認証されていないリモート コード実行に対して深刻な脆弱性(regreSSHion 、CVE-2024-6387)OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387) Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)