BadSuccessorの検出: 重大なWindows Serverの脆弱性がActive Directory内の任意のユーザーを危険にさらす可能性

CVE-2025-4427とCVE-2025-4428の公開に続いて 、Ivanti EPMMの脆弱性2件がRCEのために連携して利用される可能性のある、組織に重大な脅威をもたらす別の重要なセキュリティ問題が浮上しました。最近発見されたWindows Server 2025の特権昇格脆弱性により、攻撃者は任意のADユーザーアカウントを制御するための自由を得ます。この手法は「BadSuccessor」と名付けられ、デフォルト設定では簡単に悪用できます。, two Ivanti EPMM vulnerabilities that can be chained for RCE, another critical security issue has emerged, posing a severe threat to organizations that rely on Active Directory (AD). A recently uncovered privilege escalation vulnerability in Windows Server 2025 gives attackers the green light to gain control over any AD user account. The technique, dubbed “BadSuccessor,” abuses the delegated Managed Service Account (dMSA) feature and is easy to exploit under default settings.

BadSuccessor 攻撃の検出

「BadSuccessor」脆弱性は、広範な妨害の可能性があるため、Active Directory 環境にとって深刻な脅威です。企業の規模を問わず、アイデンティティとアクセス管理の基盤であるADが危険にさらされると、攻撃者による完全なドメイン制御につながる可能性があります。特に、ADが企業のインフラストラクチャに深く組み込まれているため、この脆弱性は攻撃者が側方移動を行ったり、検出されずに持続したり、ランサムウェアのような破壊的な攻撃を開始したりできる可能性があります。

BadSuccessor攻撃を早期に発見するためには、 SOC Prime Platform に登録して、AIを活用した検出エンジニアリング、自動化脅威ハンティング、および高度な脅威検出用の完全な製品スイートによってサポートされている関連する検出ルールのセットを提供しています。下記の Explore Detections ボタンをクリックして関連する検出スタックにすぐにアクセスできます。Threat Detection Marketplace を「 badsuccessor」タグを使用して閲覧することもできます。 

Explore Detections

Active Directoryに脅威をもたらす悪意のある攻撃に対応するより多くの検出コンテンツを求めるセキュリティプロフェッショナルは、「 Active Directory」タグ を適用して、検出アルゴリズムの完全なコレクションをレビューすることができます。

すべてのルールアルゴリズムは、複数のSIEM、EDR、およびData Lakeソリューションで使用でき、簡潔な脅威調査のために MITRE ATT&CK® に一致しています。さらに、ベンダーに依存しない各シグマルールには、CTIリンク、攻撃タイムライン、監査設定、その他のサイバー脅威コンテキストなどの実行可能なメタデータが含まれています。

脅威の調査を効率化するために、セキュリティ専門家たちは Uncoder AI を使用することができます。これは、脅威を情報に基づいて検出するエンジニアリング用のプライベートIDE＆コパイロットで、AI機能のトークン制限なしで完全無料で利用可能です。生の脅威レポートから検出アルゴリズムを生成し、パフォーマンス最適化されたクエリへの速いIOCスウィープを可能にし、ATT&CKタグを予測し、AIのヒントでクエリコードを最適化し、複数のSIEM、EDR、およびData Lake言語間でそれを翻訳します。 

さらに、Uncoder AIは、オープンソースの Attack Flow プロジェクトに触発された新機能を提供し、防御側が孤立した行動から完全な敵対者のシーケンスに移行できるようにします。Akamaiの レポート に基づいてBadSuccessorをビジュアルフローに変換し、TTPチェーンを強調して、IOCを超えたプロアクティブな検出ロジックを通知することができます。この目的のために、Uncoder AIは、脅威インテリジェンス処理のために検出エンジニアリング用にカスタマイズされたLlama 3.3を使用し、最大限のセキュリティ、プライバシー、IP保護のためにSOC Prime SOC 2 Type IIプライベートクラウドにホストされています。

BadSuccessor脆弱性の悪用: 攻撃分析

Windows Server 2025では、MicrosoftはdMSAを導入しました。これは、グループ管理サービスアカウント（gMSA）の強化版で、従来のサービスアカウントからの移行を簡素化するために設計されています。特に、dMSAは既存の非管理アカウントを前任者としてマークすることで、シームレスな”移行”を有効にします。しかし、さらなる調査により、重大な特権昇格経路が明らかになりました。dMSAを悪用することで、攻撃者はドメイン内の任意のユーザー、特権の高いアカウントの含むドメイン管理者に対する制御を得ることができます。唯一の前提条件は、dMSAオブジェクトの属性に書き込みアクセス権を持つことです。多くの環境でこの許可は見過ごされがちです。

Akamaiの研究者 ユヴァル・ゴードンは、最近導入されたこの委任dMSA機能に起因する特権昇格脆弱性を発見しました。これはデフォルト設定のままで機能し、簡単に悪用できます。この脆弱性は、ADに依存する組織の大多数に影響を与える可能性があります。分析された環境の91%では、ドメイン管理者グループ外のユーザーがこの攻撃を実行するために必要な権限を持っていました。 

エクスプロイトには二つの主要なシナリオがあります。第一は既存のdMSAを乗っ取って攻撃を遂行するもので、もう一つは新しいdMSAを作成することで、標準的な組織単位（OU）にmsDS-DelegatedManagedServiceAccountオブジェクトを作成する権利を持つ任意のユーザーがこれを行うことができるため、よりアクセスが容易な方法です。

既存のユーザーに対する後継者としてdMSAをマークすることにより、キーディストリビューションセンター（KDC）は有効な移行を行うと判断し、元のアカウントの制御を要せず承認またはバリデーションメカニズムなしで、そのdMSAに元のユーザーの全権限を自動的に移行します。

「BadSuccessor」と呼ばれるこの敵対者テクニックは、dMSAを作成または修正できるユーザーに対してドメイン全体の制御を効率的に与えます。特に伝統的な管理上の障壁を回避するため、ドメインセキュリティに対する深刻な影響を伴うデフォルト有効の脆弱性です。

Microsoftはこの問題を認識しており、将来的に対処する意向がありますが、現在公式なパッチは利用できません。即時の修正がないのが現状で、組織はdMSAの作成を制限し、可能な限り権限を厳しくすることが強く推奨されます。これを支えるためにAkamaiは、GitHubに PowerShellスクリプト をリリースしており、dMSA作成権利を持つすべての非デフォルトユーザーを特定し、これらの権限が適用されるOUを強調しています。攻撃のリスクを最小限に抑えるために、 SOC Prime Platform に依存し、自動化、AI、およびリアルタイムの脅威インテリジェンスによってサポートされた完全な製品スイートを取り揃え、あらゆる産業分野のグローバル組織が予想されるサイバー脅威に対処するのを支援します。