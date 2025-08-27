Prima della patch, la nostra ipotesi era semplice: il bug principale consisteva nel fatto che non era necessario eseguire una migrazione reale tramite l'operazione rootDSE migrateADServiceAccount, ma era sufficiente modificare gli attributi del collegamento su un dMSA per farli accettare dal KDC.

Ci aspettavamo che Microsoft proteggesse tale attributo in modo da poterlo impostare solo tramite il percorso di migrazione corretto, impedendo di eseguire migrazioni "simulate".

Dopo aver installato la patch, abbiamo provato il test più ovvio: con il ruolo di utente che controlla un dMSA, ho scritto l'attributo del collegamento esattamente come prima. Sono comunque riuscito a scriverlo perché non esisteva nessuna nuova protezione dell'attributo e potevo collegare un dMSA a qualsiasi account. Tuttavia, quando ho effettuato l'autenticazione come dMSA per "ereditare" i privilegi e le chiavi del sistema preso di mira, il KDC si è rifiutato di emettere un ticket (Figura).