Windows Server 2025 の未修正の脆弱性 BadSuccessor：パッチ適用前の PoC 公開

Akamai, Microsoft Disagree on Severity of Unpatched ‘BadSuccessor’ Flaw

2025/05/22 SecurityWeek — Windows Server 2025 に発生した、BadSuccessor と呼ばれる未修正の特権昇格の脆弱性について、完全かつ詳細な悪用の手法を公開した Akamai のセキュリティ・チームは、脆弱性情報の開示の世界に新たな論争を巻き起こしている。この脆弱性の悪用に成功した攻撃者は、Active Directory 内の任意のユーザーを侵害する可能性を手にする。Akamai の研究者である Yuval Gordon によると、Microsoft のセキュリティ対応チームは、この脆弱性の存在を認めているが、深刻度 Medium と判断し、将来的に修正すべき、重要なバグとは見なさなかったという。

Yuval Gordon は自身のブログ投稿で、「Microsoft の対応には感謝するが、その深刻度の評価には同意できない」と述べ、あまり知られていないサービス・アカウント移行機能を、深刻なセキュリティ・リスクに変化させる PoC コードを公開した。

Gordon によると、この脆弱性は、Windows Server 2025 で新たに導入されたアカウント・クラスである、dMSA (delegated Managed Service Accounts) に存在する。この dMSA は、古いサービス・アカウントを置き換えるためのものだが、元のアカウントが持っていた権限を、そのまま継承してしまうことを、Gordon は発見した。

彼が公開した技術文書では、特権を持たないユーザーが、新しい dMSA を作成する方法と、それを正当な後継者として扱わせるための手順が紹介されている。

Gordon は、「これだけで、ドメイン・コントローラは、我々を “正当な後継者” として認識する。覚えておいてほしいのは、グループ・メンバーシップの変更やドメイン管理者グループの変更、そして、実際の特権アカウントへの不審な LDAP 書き込みなどが、一切不要だということだ」と述べている。

さらに彼は、「たった２つの属性を変更するだけで、何の変哲もない新規オブジェクトが、“後継者”として認定される。しかも、KDC (Key Distrbution Center) は、その継承の正当性を疑わない。つまり、リンクさえあれば特権が与えられてしまう。我々は、グループ・メンバーシップを変更することなく、既存アカウントの昇格も行っていない。従来の権限昇格アラートにも、一切引っかかっていない」と説明している。

Akamai が顧客のテレメトリを調査したところ、91% の環境において、少なくとも 1 人の一般ユーザーが、問題のある Create-Child 権限を、組織単位 (OU：organizational unit) で保持していることが判明した。

これらの権限だけで  dMSA を新規作成できてしまう。しかし、Microsoft は、「攻撃の前提として、昇格されたアクセス権を示す特定の権限が必要である」とし、この脆弱性の深刻度を低下させたと、Gordon は指摘している。さらに彼は、Windows Server 2025 のドメイン・コントローラでは、dMSA がデフォルトで有効化されているため、2025 DC を既存の Active Directory フォレストに追加するだけで、このリスクを継承すると述べている。

彼は、このデフォルトのスタンスこそが、最終的に脆弱性の情報を公開するに至った、Akamai としての決定的な理由だとしている。Akamai は、この問題を 2025年4月1日に Microsoft に報告したが、「修正はすぐには行われない」との回答を受けていた。

Gordon は、「Microsoft は、この問題の深刻度を Medium と評価し、現時点では、即時の修正対応の対象とはならないとしている」と述べている。

さらに彼は、この脆弱性は、これまで知られていなかった悪用経路により、深刻な影響をもたらすものだと警告している。具体的には、OU に Create-Child 権限を持つユーザーであれば、ドメイン内の任意のユーザーに対する侵害が可能になる。その結果として、DCSync 攻撃の実行で用いられる、Replicating Directory Changes 権限に匹敵する権限が取得される恐れが生じる。

Gordon は、「さらに、現時点における業界の慣行やツールが、Create-Child アクセスを、特に dMSA に対する Create-Child を、重大な懸念として検出／警告した形跡がないことも確認した。つまり、この問題が、いかに目立たず、かつ深刻であるかを物語っている」と付け加えている。

Microsoft のパッチ提供前に、Akamai が脆弱性情報を公開したことで、ずっと以前から続いてきた、”責任ある開示”に関する議論が再燃している。あるセキュリティ研究者は、「パッチ提供前に悪用の詳細を公開した」として、Akamai を批判している。その一方で、ベテラン・ハッカーたちは、「Microsoft には、深刻なセキュリティ問題を見誤ったり、修正を拒否してきた過去がある」と指摘している。

公式パッチの未提供を受け、Akamai は、dMSA の作成が可能なプリンシパルを特定するためのスクリプトおよび、検知用のクエリやログ記録に関する、ガイダンスを公開している。

なんというか、もう少し仲良くやれないのかと、被当事者として思ってしまう出来事です。たしかに、Microsoft は頑固であり、こうした報告を、冷たくあしらうときがあるように思えます。それに対して Akamai は、簡単に引っ込むようなカルチャーを、持ち合わせていない組織なのでしょう。話し合ってよ・・・としか、言いようのない状況です。それにしても、Yuval Gordon さんのブログ、リキが入っていますね。よろしければ、Akamai で検索も、ご利用ください。