Microsoft’un Badsuccessor Güvenlik Açığı için son yaması (CVE-2025-53779) doğrudan ayrıcalık yükseltme yolunu başarıyla kapattı, ancak güvenlik araştırmacıları, altta yatan tekniğin sofistike saldırganlar için geçerli kaldığı konusunda uyarıyor.
Yama, tek taraflı devre dışı yönetilen Hizmet Hesabı (DMSA) bağlantıları aracılığıyla anında etki alanı yöneticisinin artmasını önlerken, tehdit aktörleri, tehlikeye atılan aktif direktor ortamlarında kimlik bilgisi hasat ve yanal hareket için temel mekanikten yararlanabilir.
Key Takeaways
1. CVE-2025-53779 patch enforces mutual dMSA–account links at the KDC, blocking one-sided privilege escalations.
2. dMSA mechanics still enable credential grabs and dumps.
2. Mitigate by patching servers.
Badsuccessor güvenlik açığı başlangıçta düşük privileged kullanıcıların Windows Server 2025’in yeni DMSA hesap türünü kötüye kullanarak anında etki alanı yönetici ayrıcalıkları elde etmesine izin verdi.
Saldırganlar, kontrollü bir DMSA oluşturarak ve yüksek ayrı hesaplara bağlayarak, grup üyelik değişiklikleri veya egzotik araçlar gerektirmeden hem etkili ayrıcalıkları hem de Kerberos anahtarlarını devralabilirler.
Teknik, Anahtar Dağıtım Merkezi’nin (KDC) bağlantılı DMSA’yı kimlik doğrulama sırasında halef olarak ele aldığını, hedef ayrıcalıklarını DMSA’nın ayrıcalık özniteliği sertifikasına (PAC) birleştirme ve hedefin kimlik doğrulama anahtarlarını içeren kimlik bilgisi paketlerini geri döndürdüğünü kullandı.
Badsuccessor Post-Patch
Microsoft’un yama uygulaması, dizin tarafı öznitelik koruması yerine KDC düzeyinde doğrulamaya odaklanır.
Akamai, KDCSVC.DLL değişikliklerinin artık DMSA ve hedef hesaplar arasında karşılıklı bağlantı gerektirdiğini ve meşru göç kalıplarını yansıttığını bildiriyor.
Bununla birlikte, bu uygulama mekanizması hala savunucuların izlemesi gereken iki kritik saldırı ilkeline izin vermektedir. İlk ilkel, gölge kimlik bilgisi saldırılarına alternatif olarak kimlik ve ayrıcalık kazanımı sağlar.
Saldırganlar hem bir hedef müdürü hem de bir DMSA’yı kontrol ettiklerinde, DMSA biletlerini talep etmek için karşılıklı bir eşleştirme oluşturabilirler.
Bu yaklaşım çeşitli avantajlar sunar: Kaçınma için DMSA kimliğini kullanırken hedef ayrıcalıklarla hareket etmek, hedef anahtarları Kerberoasting saldırılarından daha güvenilir bir şekilde elde etmek ve bağlantı değişikliklerine ve bilet verme bilet (TGT) ihraçına odaklanan farklı telemetri imzaları oluşturma.
İkinci ilkel, zaten işverenlenmiş alanlarda kimlik bilgisi dökümü için bir DCSYNC alternatifi sağlar.
Saldırganlar, geleneksel çoğaltma tabanlı teknikleri kullanmak yerine, normal bilet çıkarma süreçleri aracılığıyla ana anahtarları çıkarmak için Badsuccessor mekaniğinden yararlanabilir.
Bu yaklaşım, geleneksel kimlik bilgisi boşaltma yöntemleri için tasarlanmış mevcut algılama mekanizmalarını atlayabilecek farklı davranışsal imzalar üretir.
Hafifletme
Tespit stratejileri, DMSA oluşturma ve geçiş bağlantısı öznitelik değişiklikleri için Sistem Erişim Kontrol Listeleri (SACL’ler) denetimine odaklanmalıdır.
Davranışsal göstergeler, kısa zaman dilimlerinde tekrarlanan DMSA şifresi getirme girişimlerini, beklenmedik bir şekilde DMSA’larla bağlantılı olan kullanıcıları ve daha önce yeni DMSA dernekleri alan hesapları içerir.
Kuruluşlar, organizasyonel birim izinlerini incelerken ve DMSA heyeti kontrollerini yalnızca Seviye 0 yöneticilerine sıkıştırırken Patching Windows Server 2025 Etki Alan Denetleyicileri önceliklendirmelidir.
Badsuccessor’un güvenlik açığından kalıcı tekniğe evrimi, yamaların belirli sömürü yollarını kapatırken, altta yatan saldırı mekaniğinin sömürülebilir kaldığı daha geniş bir endüstri zorluğunu vurgulamaktadır.
Güvenlik ekipleri, bu gelişmiş tehdit vektörlerini hesaba katmak için izleme ve algılama yeteneklerini uyarlamalı ve sofistike saldırganların, yamalı ortamlarda bile kimlik bilgisi edinimi ve yanal hareket için DMSA ilişkilerini kullanmaya devam edeceğini kabul etmelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.