Yetkilendirilmiş Yönetilen Hizmet Hesabı (DMSA) özelliği, eski hizmet hesapları için güvenli bir yedek olarak Windows Server 2025’te tanıtıldı ve Kerberoasting gibi kimlik bilgisi saldırılarını önlemek, ancak bir Akamai araştırmacısı DMSA’da bir saldırganın aktif (reklam) herhangi bir kullanıcıyı uzatmasına izin verebilecek bir ayrıcalık artış kırılganlığı keşfetti.
Bugün yayınlanan bir blog yazısında, Akamai araştırmacısı Yuval Gordon, varsayılan yapılandırmalarla çalışan, düşük saldırı karmaşıklığına sahip ve Active Directory’yi (AD) kullanan çoğu kuruluşu etkileyebilecek bir DMSA saldırısı detaylandırdı.
Gordon, “İncelediğimiz ortamların% 91’inde, Domain Adims grubunun dışında bu saldırıyı gerçekleştirmek için gerekli izinlere sahip kullanıcıları bulduk” diye yazdı.
Araştırmacı, “DMSA’yı kötüye kullanarak, saldırganlar alandaki herhangi bir müdürü devralabilir” dedi. “Bir saldırganın bu saldırıyı gerçekleştirmesi gereken tüm, alan adındaki herhangi bir organizasyon biriminde (OU) iyi huylu bir izindir – genellikle radarın altında uçan bir izin. Ve en iyi kısım: saldırı varsayılan olarak çalışır – alan adınızın DMS’yi hiç kullanması gerekmez. En az bir Windows Server 2025 Domen kontrolörü olan herhangi bir alanda yapılan herhangi bir alanda, mevcut hale gelir, mevcut olur.
Microsoft sorunu çözmeyi planlıyor, ancak şu anda hiçbir yama mevcut değil.
Active Directory DMSA Saldırısı Ayrıntılı
Blog yazısı, DMSA taşıma süreci hakkında büyük ayrıntılara giriyor, ancak saldırı geliştirmesindeki kilit bir nokta, araştırmacı, hesap geçişinin alan adlarıyla sınırlı olduğu sınırlaması etrafında bir yol ararken geldi, bu nedenle DMSA nesnesine iki özellik belirleyerek bir göçü simüle etti:
- MSDS-MANAGEDACTPRECEDEDBYLink’e Hedef Hesabın Seçkin Adını (DN) yazın
- MSDS-DelegatedMSastate’i Değer 2’ye ayarlayın (Geçiş tamamlandı)
Bu değişikliklerin etkisi, araştırmacıya yerini alan hesabın tam izinlerini vermekti.
Gordon, “Bu ‘simüle edilmiş göç’ tekniği hakkında ilginç bir gerçek, yerini alan hesap üzerinde herhangi bir izin gerektirmemesidir” dedi. “Tek gereksinim, bir DMSA’nın özellikleri üzerine yazma izinleridir. Herhangi bir DMSA.”
Bir DMSA bir kullanıcıdan önce işaretlendikten sonra, Anahtar Dağıtım Merkezi (KDC) “otomatik olarak meşru bir geçişin gerçekleştiğini ve DMSA’ya orijinal kullanıcının haklı halefi gibi her iznini mutlu bir şekilde verdiğini varsayar.”
Araştırmacının “Badsuccessor” adlı bu saldırı tekniği, Domain Adims gibi yüksek ayrı hesaplar da dahil olmak üzere herhangi bir kullanıcı üzerinde çalışır. “Bir DMSA nesnesini kontrol eden herhangi bir kullanıcının tüm etki alanını kontrol etmesine izin verir. Tüm budur. Gerçek geçiş yok. Doğrulama yok. Gözetim yok.”
Saldırganlar için mevcut olma olasılığı daha yüksek bir senaryo yeni bir DMSA oluşturmaktır. Bir kullanıcı AD’de bir nesne oluşturduğunda, tüm özellikleri üzerinde tam izinleri vardır, Gordon şunları söyledi: “Bu nedenle, bir saldırgan yeni bir DMSA oluşturabilirse, tüm etki alanını tehlikeye atabilirler.”
DMSA, yönetilen hizmet hesapları konteyneri ile sınırlı değildir ve herhangi bir normal organizasyon biriminde (OU) oluşturulabilir. Araştırmacı, ayrıcalıkları olan bir OU buldu – örnek ortamda “sıcaklık” olarak adlandırılan bir OU – ve erişilebilir OU’daki yol argümanını kullanarak çocuk nesneleri oluşturmak için ayrıcalıksız kullanıcı “zayıf” izin verdi.
Araştırmacı daha sonra, tamamlanmış bir göçü simüle etmek için MSDS-ManagedActEccountPrecedByLink’i herhangi bir kullanıcının veya bilgisayarın DN ve MSDS-DelegatedMSastat’a “2” olarak ayarlayarak saldırıda kullanılan iki özelliğe yazma erişimi verdi.
“Bu saldırı reklamdaki tüm hesaplar üzerinde çalışıyor gibi görünüyor”
Gordon, “Bu saldırı, reklamdaki tüm hesaplar üzerinde çalışıyor gibi görünüyor. Bir hesabın yerini alan bir hedef olarak kullanılmasını engelleyecek herhangi bir yapılandırma bulamadık.” Dedi.
Ayrıca, iki alan içeren Kerb-DmSa-Key-Paketi adlı yeni bir yapıya sahip kimlik bilgilerine erişebildiler: akım-Keys ve önceki Keys.
Yeni bir DMSA için bilet (TGT) bilet isteyen bir bilet isterken, araştırmacı önceki Keys alanının boş olmadığını buldu. Demo sırasında hedef hesabı için kullanılan şifreye karşılık gelen anahtarı içeriyordu.
Gordon, “MSDS-ManagedAccountPrecedByLink, DMSA’yı sadece izin amaçları için yerine geçen hesaba bağlamakla kalmıyor, aynı zamanda DMSA’nın anahtarlarını devralmasına izin veriyor” dedi. “Bu, bu saldırının alan adındaki herhangi bir (veya her) kullanıcı ve bilgisayarın anahtarlarını almak için de kullanılabileceği anlamına geliyor… Tüm uygulamayı analiz etmemiş olsak da, teorimiz, son kullanıcının yararı için hesap geçişi sırasında sorunsuz bir süreklilik sağlamak için bu davranışın mevcut olmasıdır.”
Microsoft’un yanıtı
Akamai, Microsoft’un sorunu kabul ettiğini ve geçerliliğini doğruladığını, ancak bunu derhal servis için eşiği karşılamayan ılımlı bir şiddet kırılganlığı derecelendirdiğini söyledi.
Gordon, “Microsoft’un yanıtını takdir ederken, şiddet değerlendirmesine saygıyla katılmıyoruz” diye yazdı. “Bu güvenlik açığı, bir OU’da CreateChild izinleri olan herhangi bir kullanıcının etki alanındaki herhangi bir kullanıcıyı tehlikeye atmasını ve DCSYNC saldırılarını gerçekleştirmek için kullanılan çoğaltma dizin değişiklikleri ayrıcalığına benzer bir güç kazanmasını mümkün kılan daha önce bilinmeyen ve yüksek etkili bir istismar yolu getiriyor.”
Microsoft tarafından bir yama serbest bırakılıncaya kadar Akamai, DMS oluşturma ve mümkün olan her yerde izinleri sıkılaştırma yeteneğini sınırlandırmanızı önerir. Akamai buna yardımcı olmak için bir PowerShell senaryosu oluşturdu.
Gordon, “Bu araştırma, genellikle düşük riskli olduğu varsayılan dar kapsamlı izinlerin bile Active Directory ortamlarında geniş kapsamlı sonuçlara sahip olabileceğini vurgulamaktadır” dedi.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.