Semperis potenzia la sua piattaforma DSP con indicatori per rilevare e mitigare gli exploit BadSuccessor
Semperis, leader nella sicurezza dell’identità basata sull’intelligenza artificiale e nella resilienza informatica, ha annunciato nuove funzionalità di rilevamento nella sua piattaforma Directory Services Protector (DSP) per difendersi da “BadSuccessor“, una tecnica di escalation dei privilegi ad alta gravità che prende di mira una nuova funzionalità introdotta in Windows Server 2025. I miglioramenti, sviluppati in collaborazione diretta con il team di ricerca Akamai che ha scoperto la vulnerabilità, consentono alle organizzazioni di rilevare e rispondere ai tentativi di sfruttamento prima che gli attaccanti possano aumentare i privilegi e compromettere il dominio.
BadSuccessor sfrutta gli account di servizio gestiti delegati (dMSA), una nuova funzionalità di Windows Server 2025 pensata per migliorare la sicurezza degli account di servizio. I ricercatori Akamai hanno dimostrato come gli attaccanti possano abusare degli account di servizio gestiti delegati (dMSA) per impersonare utenti con privilegi elevati in Active Directory (AD), inclusi gli amministratori di dominio, senza che sia attualmente disponibile alcuna patch.
Questo vettore di sfruttamento ad alta gravità evidenzia una sfida di lunga data nella sicurezza delle identità aziendali: la gestione degli account di servizio. Questi account spesso operano con privilegi eccessivi o non monitorati, creando percorsi di attacco nascosti che possono essere utilizzati per lo sfruttamento.
In risposta a ciò, Semperis ha aggiornato la propria piattaforma DSP con un nuovo Indicatore di Esposizione (IOE) e tre Indicatori di Compromissione (IOC) per rilevare comportamenti anomali dei dMSA. Questi indicatori aiutano i team di sicurezza a individuare eccessivi diritti di delega, collegamenti malevoli tra dMSA e account privilegiati e tentativi di colpire account sensibili come KRBTGT.
“Semperis si è mossa rapidamente per tradurre la vulnerabilità in funzionalità di rilevamento concrete per chi difende, dimostrando come la collaborazione tra ricercatori e fornitori possa portare a un impatto rapido e significativo”, ha affermato Yuval Gordon, Security Researcher di Akamai. “L’abuso degli account di servizio è una preoccupazione crescente e questa vulnerabilità di alto profilo è un campanello d’allarme.”
“Gli account di servizio rimangono una delle risorse meno gestite, ma allo stesso tempo più potenti, negli ambienti aziendali”, ha affermato Tomer Nahum, Security Researcher di Semperis. “Questa collaborazione con Akamai ci ha permesso di colmare rapidamente le lacune nel rilevamento e di offrire ai difensori visibilità su un’area estremamente complessa di Active Directory, che gli attaccanti continuano a sfruttare”.
La vulnerabilità interessa qualsiasi organizzazione con almeno un controller di dominio che esegue Windows Server 2025. Anche un singolo controller di dominio configurato in modo errato può introdurre rischi per l’intero ambiente. Fino al rilascio di una patch, le organizzazioni sono invitate a verificare le autorizzazioni dMSA e a monitorare eventuali segnali di utilizzo improprio utilizzando strumenti di rilevamento avanzati come Semperis DSP.
