Microsoft ha catalogato BadSuccessor, la vulnerabilità critica in Active Directory, come “Moderate Severity”, scoperta subito dopo il Patch Tuesday di giugno. Tuttavia non è affatto una falla di severità moderata, al contrario è molto insidiosa.
Infatti “è una red flag per chi si occupa di sicurezza enterprise. Non si parla di una semplice escalation: sfruttando i meccanismi di successor calculation, un attaccante può ottenere privilegi persistenti anche in ambienti già patchati. Dunque non bastano più le patch ufficiali”, commenta Ada Spinelli, Security engineer per Maticmind.
Ecco come mitigare il rischio, in attesa della patch ufficiale, mentre “le vulnerabilità evolvono, le minacce si adattano, e quindi anche la protezione può (e deve) fare altrettanto”, secondo Raul Arisi, Cybersecurity Marketing Director per Maticmind.
Indice degli argomenti
BadSuccessor, la vulnerabilità critica in Active Directory
Microsoft ha ammesso la vulnerabilità, ma l’ha catalogata come “Moderate Severity” e la patch non è ancora disponibile.
Ma il problema è grave “perché BadSuccessor agisce proprio sui meccanismi strutturali dell’Active Directory: i trust, i ticket Kerberos, le ACL (Access Control List), e i dati replicati fra i controller di dominio”, spiega Ada Spinelli: “Anche in un ambiente aggiornato, se queste strutture sono deboli o non monitorate, l’attaccante può infiltrarsi e restare. Questo dimostra, ancora una volta, quanto i modelli di trust e gestione dei privilegi in AD siano strutturalmente fragili”.
Infatti la vulnerabilità in dMSA (delegated managed service account), nuova funzionalità in Windows Server 2025 all’interno di Active Directory (AD), permettete la delega della creazione e della gestione di account di servizio a utenti privi di privilegi. “La presenza di un PoC pubblico e la possibilità di escalation a privilegi di dominio rendono questa criticità degna di massima attenzione operativa”, sottolinea Andrea Mariucci, Head of Cyber Defence Center per Maticmind.
Che cos’è il dMSA (delegated managed service account)
Un dMSA permette di rimpiazzare un account di servizio legacy, per facilitare la gestione delle credenziali, tramite l’automatizzazione della gestione delle password e associando l’autenticazione all’identità del device. Per semplificare questa transizione, la configurazione dei dMSA consente di assumere i permessi o le funzionalità legate all’account legacy, via meccanismo di migrazione. Ma l’abuso di questa opzione permette di attribuire impropriamente alti privilegi a un nuovo account sotto il controllo di un attaccante.
L’impatto sistemico di BadSuccessor
“BadSuccessor rappresenta una vulnerabilità particolarmente insidiosa non tanto per la tecnica dell’attacco, quanto per l’impatto sistemico che può generare in ambienti Active Directory“, mette in guardia Massimo Biagiotti, Cyber Competence Center Manager per Maticmind.
Il fatto è che Active Directory rappresenta “il cuore pulsante di molte reti aziendali”, illustra Ada Spinelli: “se viene compromesso, non parliamo di un singolo server bucato: parliamo di un accesso completo con possibilità di muoversi lateralmente in rete, creare backdoor, rubare o modificare dati, compromettere interi ecosistemi”.
Perché il rischio è elevato
“La vulnerabilità identificata ci ricorda che anche le architetture consolidate possono nascondere insidie gravi — e che non esiste innovazione senza un controllo costante dei fondamentali”, avverte Raul Arisi.
Ma questo tipo di attacco va oltre, infatti “può aggirare controlli tradizionali, poiché avviene interamente all’interno della logica LDAP di AD, senza eseguire codice malevolo sul server”, secondo Massimo Biagiotti.
Infine, “BadSuccessor è un ottimo esempio di come anche le funzionalità pensate per semplificare la gestione possano trasformarsi in un incubo per la sicurezza. La delega degli account di servizio, se non controllata al dettaglio, apre porte che un attaccante può sfruttare per scalare privilegi senza fare rumore“, evidenzia Luca Mantini, Solution Engineer Coordinator per Maticmind.
Come mitigare il rischio
La vulnerabilità è “l’ennesima conferma di quanto oggi la sicurezza delle identità digitali sia un punto nevralgico per la resilienza aziendale“, conferma Raul Arisi: “Occorre accompagnare ogni giorno le organizzazioni nel rafforzare la propria postura di sicurezza attraverso un approccio integrato che unisce identity & access management, vulnerability assessment e threat detection“.
Gli aggressori potrebbero effettuare una simulazione della migrazione con una configurazione capace di ingannare il sistema inducendolo credere che si tratti di una migrazione legittima, realizzando un nuovo oggetto dMSA come utente senza privilegi, ma dotato di permesso “CreateChild” su una Organizational Unit (OU); oppure cambiando due attributi sull’oggetto dMS.
“L’attacco potrebbe dunque passare inosservato senza sistemi di monitoraggio avanzati (SIEM o soluzioni EDR integrati)”, avverte Biagiotti: “È un campanello d’allarme per i team IT e di sicurezza: l’adozione di nuove feature non può mai prescindere da una valutazione approfondita del rischio”.
Ma in attesa della patch occorre agire. “In Active Directory, ogni permesso concesso deve essere valutato con attenzione, soprattutto quando si parla di deleghe automatiche. Nel frattempo, chi gestisce AD dovrebbe mettere mano subito ai permessi e al monitoraggio, perché aspettare la patch potrebbe voler dire lasciare la porta spalancata ai malintenzionati”, avverte Luca Mantini.
“Serve un intervento su più livelli: un hardening avanzato sugli oggetti critici (come ACL e trust), un auditing continuativo per rilevare anomalie nelle modifiche sospette, una gestione proattiva dei ticket Kerberos, incluso il reset periodico delle chiavi KRBTGT e una segmentazione rigorosa Tier-0 per isolare le risorse più sensibili”, sottolinea Ada Spinelli.
Inoltre, “serve una mentalità proattiva, non solo reattiva: non basta correre dietro alle vulnerabilità, bisogna anticipare, prepararsi e rafforzare l’intero modello di sicurezza. In pratica, significa passare da una sicurezza “di rincorsa” a una sicurezza intelligente, strategica e resiliente, capace di adattarsi di fronte a vulnerabilità complesse come BadSuccessor”, conclude Ada Spinelli.
