Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
I dMSA sono il nuovo obiettivo di escalation dei privilegi di AD — Ecco cosa devi sapere

I dMSA sono il nuovo obiettivo di escalation dei privilegi di AD — Ecco cosa devi sapere

Jul 21, 2025

Introduzione

Windows Server 2025 ha introdotto gli account di servizio gestiti delegati (dMSA) per migliorare la sicurezza collegando l'autenticazione del servizio alle identità dei dispositivi. Tuttavia, gli aggressori hanno già trovato un modo per trasformare questa nuova funzionalità in una pericolosa tecnica di privilege escalation.

L'attacco BadSuccessor consente agli avversari di impersonare qualsiasi utente — anche gli amministratori di dominio — senza innescare allarmi tradizionali. Ecco come funziona, perché è così furtivo e cosa puoi fare per rimanere un passo avanti.

Richiedi una prova gratuita per Netwrix PingCastle

Comprensione dei dMSAs e del loro ruolo in Active Directory

Come si differenziano le dMSAs dalle gMSAs

  • Un dMSA (delegated managed service account) funziona come un account di servizio ma è legato all'identità di una singola macchina. A differenza dei gMSAs, che sono gestiti centralmente e possono funzionare su più server, i dMSA ereditano i privilegi del dispositivo su cui vengono creati.

Questa portata più ristretta migliora la sicurezza in teoria — ma crea anche nuovi rischi quando i dMSA vengono migrati da account legacy.


Cosa sapere sulla migrazione verso dMSAs

Un dMSA può essere creato come un account autonomo. In alternativa, può essere creato come sostituto di un esistente account di servizio tradizionale basato su utente (non un managed service account o un gMSA) attraverso la migrazione. Questo viene tipicamente eseguito utilizzando il cmdlet PowerShell Start-ADServiceAccountMigration, che innesca l'operazione LDAP RootDSE MigrateADServiceAccount. Due attributi chiave vengono impostati come parte di questo processo:

  • msDS-ManagedAccountPrecededByLink — Indica l'account utente originale
  • msDS-DelegatedMSAState — Indica lo stato della migrazione (ad esempio, pronto o completato)

Al termine del processo di migrazione, l'account di servizio legacy viene disabilitato ma deve rimanere in Active Directory. Se viene eliminato, il dMSA non funzionerà più poiché molti servizi e configurazioni fanno ancora riferimento all'account originale. Gli aggressori prendono di mira questi attributi nella tecnica BadSuccessor, rendendoli fondamentali per il monitoraggio.

Come gli aggressori possono abusare di un dMSA per l'escalation dei privilegi in Active Directory

Tecniche tradizionali di escalation dei privilegi

Le ricerche nel mondo reale rivelano che l'escalation dei privilegi è spesso la seconda fase di attacco dopo l'accesso iniziale. Una volta che gli avversari ottengono il controllo di un account utente, cercano percorsi che consentano loro di aumentare sistematicamente i loro privilegi, con l'obiettivo di ottenere infine i diritti di Domain Admin.

Le tecniche tradizionali di escalation dei privilegi elencate nel catalogo MITRE ATT&CK includono Kerberoasting, AS?REP Roasting e la creazione di Golden Ticket. Inoltre, gli aggressori oggi utilizzano spesso strumenti come BloodHound per mappare percorsi di escalation dei privilegi, che comportano il sfruttamento di problemi come configurazioni errate, permessi ereditati o difetti di progettazione per ottenere permessi di alto livello.

Escalation dei privilegi utilizzando dMSAs

L'introduzione di dMSA offre agli avversari un'altra opzione per l'escalation dei privilegi, non perché i dMSA siano intrinsecamente insicuri, ma perché gli attaccanti possono sfruttare il modo in cui sono collegati agli account di servizio legacy. Modificando attributi come msDS-ManagedAccountPrecededByLink, un dMSA può essere configurato per impersonare un altro utente ed ereditare l'accesso di quell'account. Pertanto, tali diritti possono essere sfruttati senza modificare l'appartenenza a gruppi o compromettere ulteriori credenziali. Di conseguenza, anche stack di sicurezza sofisticati possono non rilevare questo vettore di attacco se si affidano solo al monitoraggio degli ID eventi tradizionali o al tracciamento dell'assegnazione dei privilegi.

Un fattore di rischio comune è l'impropria delega di controllo sulle unità organizzative (OU). Se un attaccante compromette un account utente con diritti CreateChild o WriteProperty su un'OU, potrebbe potenzialmente creare un dMSA che eredita i privilegi a livello di dominio. Akamai ha scoperto che il 91% degli ambienti analizzati aveva almeno un'OU dove gli account utente avevano permessi sufficienti per sfruttare questa tecnica.

L'attacco BadSuccessor e perché è così pericoloso

BadSuccessor è un nuovo vettore di attacco che abusa degli attributi di migrazione dMSA. Modificando l'attributo msDS-ManagedAccountPrecededByLink, un attaccante può far impersonare a un dMSA un account privilegiato.

Il Kerberos Key Distribution Center emette quindi ticket come se il dMSA fosse quell'utente privilegiato — nessun cambiamento di gruppo, nessun evento di accesso evidente. In altre parole, gli aggressori ottengono accesso a livello di amministratore che appare completamente legittimo.

Peggiorando il problema, gli attacchi BadSuccessor possono essere molto difficili da rilevare. Non ci sono cambiamenti di gruppo e nessuna attività di accesso dall'account utente impersonato. Sebbene Microsoft ora fornisca log per i cambiamenti degli attributi rilevanti nello schema di Windows 2025 (versione 91), la maggior parte degli strumenti di auditing non è ancora configurata per segnalarli. In breve, questa tecnica probabilmente passerà inosservata se gli strumenti di rilevamento non cercano specificamente configurazioni dMSA anomale o comportamenti di impersonificazione nelle richieste di ticket Kerberos. Anche la revisione forense è complicata, poiché il nome del dMSA potrebbe non riflettere il corretto livello di privilegio con cui opera.

Oltre a consentire l'escalation dei privilegi, gli attacchi BadSuccessor possono permettere agli avversari di ottenere un accesso a lungo termine all'ambiente, noto come persistenza. La persistenza è fondamentale per gli attori delle minacce persistenti avanzate (APT). In AD, le tecniche di persistenza avanzate sono quelle che sopravvivono ai reset delle password, ai cicli di riavvio e agli sforzi di rimedio standard. L'attacco BadSuccessor si qualifica certamente: una volta che un dMSA è impostato in modalità di migrazione con un account riuscito e biglietti Kerberos emessi, può continuare a operare anche se l'account originale viene disabilitato. In altre parole, i dMSA abusati in questo modo forniscono una “porta sul retro con distintivo” — un account che appare legittimo, richiede biglietti Kerberos come qualsiasi normale account di servizio e opera all'interno dei privilegi definiti.

Migliori pratiche per difendersi dall'abuso di dMSA

Una solida difesa contro l'abuso di dMSAs per l'escalation dei privilegi richiede una strategia multilivello che copra sia la prevenzione che il rilevamento. Le migliori pratiche chiave includono quanto segue:

  • Rivedi i permessi. Esegui regolarmente audit su chi possiede i diritti CreateChild, WriteProperty, WriteDACL (Modifica Permessi), Generic All (Controllo Completo) e WriteOwner (Cambia Proprietario) su tutte le OU e applica rigorosamente il principio del privilegio minimo per ridurre la superficie di attacco.
  • Formate i team. Assicuratevi che tutti gli amministratori di AD comprendano come funzionano i dMSAs e i rischi che comportano.
  • Rimani informato. Mentre Microsoft continua a migliorare la funzionalità dMSA, i team di sicurezza devono rimanere attivi con la documentazione ufficiale e la ricerca della comunità per comprendere i rischi emergenti. Risorse come la Microsoft’s dMSA documentation e le ultime analisi di SpecterOps on BadSuccessor mitigations forniscono preziose indicazioni.
  • Monitorare i cambiamenti. Gli indicatori tradizionali di compromissione (IoC) come i fallimenti di accesso non sono sufficienti per individuare attacchi dMSA come BadSuccessor. Le organizzazioni necessitano di strumenti di monitoraggio in tempo reale che possano segnalare modifiche agli attributi correlati a dMSA. Un approccio robusto include:
    • Stabilire una base di riferimento per legittimi dMSAs e i loro comportamenti attesi
    • Monitoraggio della creazione o modifica imprevista di dMSAs
    • Monitoraggio dell'emissione di ticket Kerberos per dMSAs
    • Esaminando i log di migrazione di dMSA, ora disponibili nelle recenti build di Windows Server — consulta la guida di Microsoft al logging degli eventi dMSA
  • Adottare una strategia Zero Trust. Più in generale, integrare la sicurezza dMSA in un'iniziativa più ampia di Zero Trust. Trattare i dMSA come identità ad alto valore, non solo come account di infrastruttura. Implementare gli stessi controlli che si usano per gli account amministrativi, inclusa l'applicazione rigorosa del principio del privilegio minimo, l'analisi dell'attività di autenticazione e il monitoraggio continuo del comportamento.

Strumenti per un'efficace rilevazione e difesa

Netwrix Identity Threat Detection & Response Solution offre una protezione completa contro gli attacchi di escalation dei privilegi basati su dMSA attraverso strumenti di sicurezza integrati che lavorano insieme per valutare, prevenire e rilevare le minacce:

Come Netwrix ferma gli attacchi BadSuccessor

  • Trova velocemente le OU a rischio: Netwrix PingCastle individua dove gli utenti hanno diritti pericolosi di creazione dMSA, così puoi risolverli prima che gli attaccanti colpiscano.
  • Blocca gli exploit in tempo reale: Netwrix Threat Prevention ferma le modifiche non autorizzate agli attributi dMSA — interrompendo gli attacchi BadSuccessor alla fonte.
  • Scopri ciò che altri non vedono: Netwrix Threat Manager monitora il ticketing Kerberos e le migrazioni dMSA alla ricerca di segni di impersonificazione, avvisandoti prima che gli aggressori escalerino i privilegi.

Insieme, questi strumenti offrono visibilità, controllo e difesa automatizzata contro tecniche di escalation di privilegi occulti come BadSuccessor.

Conclusione

L'account del servizio gestito delegato è una potente nuova funzionalità di Windows Server che può migliorare sia la sicurezza che la gestibilità. Tuttavia, gli aggressori possono utilizzare il dMSA per l'escalation dei privilegi in Active Directory. Infatti, la scoperta di BadSuccessor sottolinea la necessità di implementare nuove capacità con la dovuta diligenza, inclusa l'adozione di una suite di strumenti comprovati per garantire sia una solida postura di sicurezza sia un rilevamento rapido delle minacce.

FAQ su dMSA per l'Escalation dei Privilegi in Active Directory

Cos'è l'attacco BadSuccessor?

BadSuccessor è una tecnica che sfrutta un dMSA per l'escalation dei privilegi in Active Directory. Può consentire a un account controllato dall'attaccante di impersonare altri utenti in Active Directory, inclusi gli utenti privilegiati.

Come funziona l'attacco BadSuccessor?

Un attaccante crea o modifica un dMSA, impostando i suoi attributi di migrazione per fare riferimento a un utente privilegiato. Di conseguenza, il KDC emette ticket Kerberos che concedono al dMSA tali privilegi elevati, consentendo un'impersonificazione subdola.

Perché tanti ambienti sono vulnerabili?

Secondo Akamai, il 91% degli ambienti AD reali presentava almeno un'unità organizzativa in cui gli utenti non privilegiati avevano i permessi CreateChild o Write — sufficienti per eseguire la tecnica BadSuccessor.

Cosa possono fare le organizzazioni per mitigare il loro rischio?

Le migliori pratiche per mitigare i rischi includono la limitazione dei permessi CreateChild e Write sulle unità organizzative, il monitoraggio continuo delle modifiche agli attributi dMSA e l'identificazione e la correzione proattiva delle configurazioni rischiose.

Microsoft sta pianificando di applicare questa patch?

Microsoft ha classificato il problema dell'utilizzo di dMSA per l'escalation dei privilegi in Active Directory come di gravità moderata. Anche se potrebbe essere sviluppata una patch, è saggio che le organizzazioni adottino immediatamente solide strategie di prevenzione e rilevamento delle minacce.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Tatiana Severina

Product Marketing Manager

Tatiana Severina è Product Marketing Manager presso Netwrix con oltre 15 anni di esperienza nel settore della cybersecurity aziendale e dell'infrastruttura IT, supportando gli sforzi di go-to-market in mercati globali. Si concentra sulla traduzione di complesse informazioni sulle minacce e capacità tecniche in un valore chiaro e azionabile per i professionisti della sicurezza. In Netwrix, lavora in modo trasversale per collegare la ricerca sulla sicurezza con il valore per il cliente, aiutando le organizzazioni a ridurre il rischio di identità, semplificare la risposta agli incidenti e rafforzare la loro strategia di sicurezza complessiva.

Scopri di più su questo argomento

Come aggiungere e rimuovere gruppi AD e oggetti nei gruppi con PowerShell

Attributi di Active Directory: Ultimo accesso

Fiducie in Active Directory

Attacchi ransomware di Active Directory

Come creare, eliminare, rinominare, disabilitare e unire computer in AD utilizzando PowerShell

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza