كجزء من تحديث Patch Tuesday لشهر أغسطس 2025، عالجت مايكروسوفت ثغرة أمنية حرجة أطلقت عليها اسم BadSuccessor (CVE-2025-53779)، والتي كانت تستغل ثغرة في نظام dMSA، مما يؤدي إلى قيام Key Distribution Center (KDC) بمعاملة أي حساب مرتبط بـ dMSA كخليفة (successor) أثناء المصادقة.
هذا يعني أن المهاجمين يمكنهم إنشاء dMSA داخل وحدة تنظيمية (OU) وربطه بأي حساب مستهدف — بما في ذلك متحكمو المجال (Domain Controllers)، المسؤولون في المجال (Domain Admins)، المستخدمون المحميون (Protected Users)، أو الحسابات المعلمة بأنها “حساسة ولا يمكن تفويضها” — وبالتالي يمكن اختراق هذه الحسابات بشكل كامل.
كيف يعمل تحديث التثبيت
أوضح الباحث في الأمن السيبراني لدى Akamai، Yuval Gordon، أن “فرض التحديث تم على مستوى تحقق KDC. يمكن كتابة السمة attribute بعد التحديث، لكن KDC لن يعتمدها إلا إذا بدا الربط كترحيل شرعي.”
وأشار إلى أن “الثغرة يمكن إصلاحها جزئيًا، إلا أن BadSuccessor لا يزال قائمًا كأسلوب هجوم؛ حيث يزيل التحديث مسار التصعيد السابق، لكنه لا يحل المشكلة بشكل كامل. إذ لم يقدم التحديث أي حماية للسمة المرتبطة link attribute، لذلك لا يزال بإمكان المهاجم أن يرث حسابًا آخر بربط dMSA تحت سيطرته مع الحساب المستهدف.”
خلفيات التقنية وأهميتها الأمنية
تعكس هذه الثغرة المخاطر الكبيرة المرتبطة بإدارة الحسابات ذات الامتيازات العالية في بيئات Active Directory. استغلال dMSA بطريقة غير صحيحة يسمح للمهاجمين بتجاوز قيود الحماية التقليدية، والتحكم في الحسابات الحساسة دون الحاجة للوصول المسبق لها، ما يمثل تهديدًا كبيرًا للشركات والمؤسسات التي تعتمد على بيئات ويندوز المؤسسية.
كما يسلط التحليل الضوء على أن تصحيح الثغرة لا يلغي إمكانية استخدام BadSuccessor كأسلوب هجومي، بل يحد فقط من أسلوب التصعيد المباشر الذي كان ممكنًا قبل التحديث. هذا يبرز الحاجة إلى تكامل استراتيجيات الأمن المتقدمة، مثل مراقبة الأنشطة المشبوهة في Active Directory، ومراجعة الحقوق الممنوحة للحسابات ذات الامتيازات، واستخدام تقنيات التحقق المتعدد لتقليل المخاطر.
توصيات الخبراء
ينصح خبراء الأمن بتطبيق التحديثات بشكل فوري، إلى جانب تعزيز الرقابة على الحسابات الحساسة والامتيازات المرتبطة بها، ومراجعة أي تغييرات في سمات dMSA بشكل دوري، لضمان عدم استغلال الثغرات بطريقة خفية.
