Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
dMSAs são o Novo Alvo de Escalada de Privilégios no AD — Aqui está o Que Você Precisa Saber

dMSAs são o Novo Alvo de Escalada de Privilégios no AD — Aqui está o Que Você Precisa Saber

Jul 21, 2025

Introdução

O Windows Server 2025 introduziu contas de serviço gerenciadas delegadas (dMSAs) para melhorar a segurança, vinculando a autenticação de serviço às identidades dos dispositivos. No entanto, os atacantes já encontraram uma maneira de transformar esse novo recurso em uma técnica perigosa de escalada de privilégios.

O ataque BadSuccessor permite que adversários se passem por qualquer usuário — até mesmo administradores de domínio — sem acionar alertas tradicionais. Veja como funciona, por que é tão furtivo e o que você pode fazer para se antecipar.

Solicite um teste gratuito para Netwrix PingCastle

Compreendendo dMSAs e o Papel deles no Active Directory

Como dMSAs diferem de gMSAs

  • Uma dMSA (delegated managed service account) funciona como uma conta de serviço, mas está vinculada à identidade de uma única máquina. Diferentemente das gMSAs, que são gerenciadas centralmente e podem operar em vários servidores, as dMSAs herdam os privilégios do dispositivo no qual são criadas.

Este escopo mais restrito melhora a segurança em teoria — mas também cria novos riscos quando dMSAs são migrados de contas legadas.


O que saber sobre a migração para dMSAs

Uma dMSA pode ser criada como uma conta independente. Alternativamente, pode ser criada como substituição de uma conta de serviço baseada em usuário tradicional existente (não uma conta de serviço gerenciada ou uma gMSA) por meio de migração. Isso é geralmente feito usando o cmdlet Start-ADServiceAccountMigration do PowerShell, que aciona a operação MigrateADServiceAccount LDAP RootDSE. Dois atributos-chave são definidos como parte desse processo:

  • msDS-ManagedAccountPrecededByLink — Aponta para a conta de usuário original
  • msDS-DelegatedMSAState — Indica o estado da migração (por exemplo, pronto ou concluído)

No final do processo de migração, a conta de serviço legada é desativada, mas deve permanecer no Active Directory. Se for excluída, o dMSA não funcionará mais, pois muitos serviços e configurações ainda fazem referência à conta original. Os atacantes visam esses atributos na técnica BadSuccessor, tornando-os críticos para o monitoramento.

Como os atacantes podem abusar de um dMSA para Escalonamento de Privilégios no Active Directory

Técnicas Tradicionais de Escalada de Privilégios

Pesquisas no mundo real revelam que a escalada de privilégios é frequentemente a segunda fase de um ataque após o acesso inicial. Uma vez que os adversários ganham controle de uma conta de usuário, eles procuram caminhos que lhes permitam aumentar sistematicamente seus privilégios, com o objetivo de eventualmente obter direitos de Domain Admin.

Técnicas tradicionais de escalonamento de privilégios listadas no catálogo MITRE ATT&CK incluem Kerberoasting, AS?REP Roasting e criação de Golden Ticket. Além disso, os atacantes hoje frequentemente usam ferramentas como BloodHound para mapear caminhos de escalonamento de privilégios, que envolvem aproveitar problemas como má configurações, permissões herdadas ou falhas de design para obter permissões de alto nível.

Escalonamento de Privilégios usando dMSAs

A introdução de dMSAs oferece aos adversários mais uma opção para escalonamento de privilégios, não porque os dMSAs sejam inerentemente inseguros, mas porque os atacantes podem explorar como eles estão vinculados a contas de serviço legadas. Ao modificar atributos como msDS-ManagedAccountPrecededByLink, um dMSA pode ser configurado para se passar por outro usuário e herdar o acesso dessa conta. Portanto, esses direitos podem ser explorados sem alterar associações de grupo ou comprometer credenciais adicionais. Como resultado, até mesmo pilhas de segurança sofisticadas podem não detectar esse vetor de ataque se confiarem apenas no monitoramento de ID de evento tradicional ou no rastreamento de atribuição de privilégios.

Um fator de risco comum é a delegação imprópria de controle sobre unidades organizacionais (OUs). Se um atacante comprometer uma conta de usuário com direitos CreateChild ou WriteProperty em uma OU, ele pode potencialmente criar um dMSA que herda privilégios a nível de domínio. Akamai descobriu que 91% dos ambientes analisados tinham pelo menos uma OU onde contas de usuário tinham permissões suficientes para explorar essa técnica.

O Ataque BadSuccessor e Por Que Ele É Tão Perigoso

BadSuccessor é um novo vetor de ataque que abusa dos atributos de migração dMSA. Ao alterar o atributo msDS-ManagedAccountPrecededByLink, um atacante pode fazer com que um dMSA se passe por uma conta privilegiada.

O Kerberos Key Distribution Center emite então tickets como se o dMSA fosse aquele usuário privilegiado — sem alterações de grupo, sem eventos de login óbvios. Em outras palavras, os atacantes obtêm acesso de nível de administrador que parece completamente legítimo.

Tornando o problema ainda pior, os ataques BadSuccessor podem ser muito difíceis de detectar. Não há mudanças de grupo e nenhuma atividade de logon da conta de usuário impersonada. Embora a Microsoft agora forneça logs para as mudanças de atributos relevantes no esquema do Windows 2025 (versão 91), a maioria das ferramentas de auditoria ainda não está configurada para sinalizá-las. Em resumo, essa técnica provavelmente passará despercebida se as ferramentas de detecção não estiverem procurando especificamente por configurações anormais de dMSA ou comportamento de impersonação em solicitações de ticket Kerberos. A revisão forense também é complicada, já que o nome do dMSA pode não refletir o nível de privilégio adequado sob o qual opera.

Além de possibilitar a escalada de privilégios, os ataques BadSuccessor podem capacitar adversários a obter acesso de longo prazo ao ambiente, conhecido como persistência. A persistência é crítica para atores de ameaças persistentes avançadas (APT). No AD, técnicas avançadas de persistência são aquelas que sobrevivem a redefinições de senha, ciclos de reinicialização e esforços de remediação padrão. O ataque BadSuccessor certamente se qualifica: Uma vez que um dMSA é configurado em modo de migração com uma conta sucedida e ingressos Kerberos emitidos, ele pode continuar operando mesmo que a conta original seja desativada. Em outras palavras, dMSAs abusados dessa maneira fornecem uma “porta dos fundos com crachá” — uma conta que parece legítima, solicita ingressos Kerberos como qualquer conta de serviço normal e opera dentro dos privilégios definidos.

Melhores Práticas para Defender Contra o Abuso de dMSA

Uma defesa robusta contra o abuso de dMSAs para escalonamento de privilégios requer uma estratégia de múltiplas camadas que abrange tanto a prevenção quanto a detecção. As principais melhores práticas incluem o seguinte:

  • Revise as permissões. Audite regularmente quem possui os direitos CreateChild, WriteProperty, WriteDACL (Modificar Permissões), Generic All (Controle Total) e WriteOWner (Alterar Proprietário) em todas as OUs e aplique rigorosamente o princípio do menor privilégio para reduzir sua área de superfície de ataque.
  • Eduque as equipes. Garanta que todos os administradores de AD entendam como as dMSAs funcionam e os riscos que elas envolvem.
  • Mantenha-se informado. À medida que a Microsoft continua aprimorando o recurso dMSA, as equipes de segurança devem permanecer atentas à documentação oficial e às pesquisas da comunidade para compreender os riscos emergentes. Recursos como a Microsoft’s dMSA documentation e a análise mais recente da SpecterOps on BadSuccessor mitigations fornecem orientações valiosas.
  • Monitore mudanças. Indicadores tradicionais de comprometimento (IoCs), como falhas de logon, são insuficientes para detectar ataques dMSA como BadSuccessor. As organizações precisam de ferramentas de monitoramento em tempo real que possam sinalizar modificações em atributos relacionados ao dMSA. Uma abordagem robusta inclui:
    • Estabelecendo uma linha de base de dMSAs legítimos e seus comportamentos esperados
    • Monitorando a criação ou modificação inesperada de dMSAs
    • Monitoramento da emissão de tickets Kerberos para dMSAs
    • Revisando os logs de migração do dMSA, agora disponíveis nas versões recentes do Windows Server — veja o guia da Microsoft para registro de eventos do dMSA
  • Adote uma estratégia de Zero Trust. De forma mais ampla, integre a segurança dMSA em uma iniciativa mais abrangente de Zero Trust. Trate dMSAs como identidades de alto valor, não apenas contas de infraestrutura. Implemente os mesmos controles que você usa para contas administrativas, incluindo a aplicação estrita do princípio de menor privilégio, analisando a atividade de autenticação e monitorando continuamente o comportamento.

Ferramentas para Detecção e Defesa Efetivas

Netwrix Identity Threat Detection & Response oferece proteção abrangente contra ataques de escalonamento de privilégios baseados em dMSA por meio de ferramentas de segurança integradas que trabalham juntas para avaliar, prevenir e detectar ameaças:

Como a Netwrix impede ataques BadSuccessor

  • Encontre OUs arriscadas rapidamente: Netwrix PingCastle identifica onde os usuários têm direitos perigosos de criação de dMSA, para que você possa corrigi-los antes que os atacantes ataquem.
  • Bloqueie explorações em tempo real: Netwrix Threat Prevention impede alterações não autorizadas nos atributos dMSA — cortando ataques BadSuccessor na origem.
  • Descubra o que outros não veem: Netwrix Threat Manager monitora a emissão de tickets Kerberos e migrações dMSA em busca de sinais de falsificação de identidade, alertando você antes que os invasores elevem privilégios.

Juntos, essas ferramentas oferecem visibilidade, controle e defesa automatizada contra técnicas de escalonamento de privilégio ocultas como BadSuccessor.

Conclusão

A conta de serviço gerenciado delegado é um poderoso novo recurso do Windows Server que pode melhorar tanto a segurança quanto a capacidade de gerenciamento. No entanto, os atacantes podem usar o dMSA para escalonamento de privilégios no Active Directory. De fato, a descoberta do BadSuccessor sublinha a necessidade de implementar novas capacidades com a devida diligência, incluindo ter um conjunto de ferramentas comprovadas para garantir tanto uma postura de segurança forte quanto a detecção rápida de ameaças.

FAQ sobre dMSA para Escalada de Privilégios no Active Directory

O que é o ataque BadSuccessor?

BadSuccessor é uma técnica que explora um dMSA para escalonamento de privilégios no Active Directory. Pode permitir que uma conta controlada por um atacante se passe por outros usuários no Active Directory, incluindo usuários privilegiados.

Como funciona o ataque BadSuccessor?

Um atacante cria ou modifica um dMSA, definindo seus atributos de migração para referenciar um usuário privilegiado. Como resultado, o KDC emite tickets Kerberos que concedem ao dMSA esses privilégios elevados, possibilitando a personificação discreta.

Por que tantos ambientes são vulneráveis?

De acordo com a Akamai, 91% dos ambientes AD do mundo real possuíam pelo menos uma unidade organizacional onde usuários não privilegiados tinham permissões de CreateChild ou Write — suficiente para realizar a técnica BadSuccessor.

O que as organizações podem fazer para mitigar seus riscos?

As melhores práticas para mitigar riscos incluem limitar as permissões de CreateChild e Write em unidades organizacionais, monitorar continuamente as alterações nos atributos dMSA e identificar e corrigir proativamente configurações arriscadas.

A Microsoft está planejando corrigir isso?

A Microsoft classificou o problema do uso de dMSA para escalonamento de privilégios no Active Directory como de gravidade moderada. Embora um patch possa ser desenvolvido, as organizações são inteligentes ao adotar estratégias robustas de prevenção e detecção de ameaças imediatamente.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Tatiana Severina

Gerente de Marketing de Produto

Tatiana Severina é Gerente de Marketing de Produto na Netwrix com mais de 15 anos de experiência em cibersegurança empresarial e infraestrutura de TI, apoiando esforços de entrada no mercado em mercados globais. Ela se concentra em traduzir inteligência de ameaças complexas e capacidades técnicas em valor claro e acionável para profissionais de segurança. Na Netwrix, ela trabalha de forma interfuncional para conectar pesquisa de segurança com valor para o cliente, ajudando organizações a reduzir o risco de identidade, otimizar a resposta a incidentes e fortalecer sua estratégia de segurança geral.

Saiba mais sobre este assunto

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Atributos do Active Directory: Último Logon

Confianças no Active Directory

Ataques de ransomware ao Active Directory

Como criar, excluir, renomear, desativar e ingressar computadores no AD usando PowerShell

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança