Akamai araştırmacıları, kapsamını ve sınırlamalarını belirlemek için Microsoft’un Badsuccessor Güvenlik Açığı (CVE-2025-53779) yamasını değerlendirdi.
Güncelleme orijinal doğrudan yükseltme yolunu etkili bir şekilde engellerken, Badsuccesser’ın temel mekaniği belirli koşullar altında sömürülebilir kalır.
Bu makalede, saldırganların aktif direktifi sonrası patch’daki kimlik bilgisi hırsızlığı ve yanal hareket için devredilen yönetilen hizmet hesaplarından (DMSA) nasıl yararlanmaya devam edebileceklerini inceliyoruz.
Badsuccessor’u tekrar ziyaret etmek
Def Con 2025’te tanıtılan Badsuccessor, ayrıcalıkları yükseltmek için Windows Server 2025’in DMSA hesap türünü kötüye kullanıyor.
Kontrollü bir DMSA’yı herhangi bir hedef hesaba bağlayarak, Anahtar Dağıtım Merkezi (KDC), hedefin ayrıcalıklarını DMSA’nın ayrıcalık öznitelik sertifikasına birleştirecek ve Kaynaklı Rapora göre Kerberos Anahtar Paketini iade edecektir.
Bu, ekstra grup değişiklikleri veya özel takımlar olmadan acil etki alanı yönetici erişimi verdi. En önemlisi, sadece herhangi bir organizasyon birimini kontrol etmek, bu saldırıyı dağıtmak için yeterliydi ve alan denetleyicilerinin, korunan kullanıcıların ve etki alanı yöneticilerinin uzlaşmasını sağladı.
Microsoft’un yaması, bir DMSA’yı bir hedefle ilişkilendiren dizin özniteliğini kilitlemedi. Bunun yerine, kdcsvc.dll’deki değişiklikler bilet verilmesinde katı doğrulama uygular: Tek yönlü bir bağlantı artık geçerli bir Kerberos bileti vermez.
Yalnızca karşılıklı bir eşleştirme – hedef hesabın DMSA’ya karşılıklı olarak atıfta bulunduğu yer – meşru bir hizmet hesabı geçişini değiştirir ve KDC tarafından onurlandırılır. Sonuç olarak, saldırganlar artık yükseltme elde etmek için hedef nesnenin kendisini kontrol etmeli ve önlem kısayolunu etkili bir şekilde kapatmalıdır.
Domain yöneticisine doğrudan giden yol kapalı olmasına rağmen, Badsuccess çok yönlü bir teknik olarak devam eder. Bağlantı nitelikleri yazma yeteneğine dayanan iki pratik ilkel belirliyoruz:
Bir saldırgan bir kullanıcı veya bilgisayar nesnesinde jenerikwrite tuttuğunda, geleneksel yöntemler bir gölge kimlik bilgisi eklemeyi veya Kerberoasting’i gerçekleştirmeyi içerir.
Bununla birlikte, BadSuccessor ile bir DMSA’nın kontrol edilmesi, DMSA için geçerli bir biletin karşılıklı bağlantı eşleştirmesini ve verilmesini sağlar. Bu, rakiplerin şunları sağlar:
- Orijinal hesap izlendiğinde algılama riskini azaltarak DMSA kimliğini kullanarak hedefin etkili ayrıcalıkları altında çalışın.
- Hedefin Kerberos tuşlarını doğrudan Kerberoasting’den daha hızlı ve daha güvenilir olan DMSA anahtar paketinden çıkarın.
- Telemetriyi DMSA-Link düzenlemelerine konsantre edin ve DMSA’ya bilet verilen bilet verme.
Halihazırda saldırgan kontrolü altında olan alanlarda, BadSuccessor, normal bilet istekleri aracılığıyla “çoğaltılmamış” kimlik bilgisi dökümünü sağlar ve mevcut algılama kurallarını atlayabilecek farklı davranışsal sinyallerle DCSYNC’ye bir alternatif sunar.
Patch sonrası Badsuccessor etkinliğini tespit etmek için:
- SACL’lerin DMS’lerin oluşturulmasını ve her iki bağlantılı nesnede göç bağlantısı özniteliklerinde değişiklik yapmalarını etkinleştirin.
- DMSA şifresi alımlarının hızlı dizileri ve etkin veya daha önce devre dışı bırakılmış hesapların anormal bağlantıları için izleyin.
Microsoft’un CVE-2025-53779 için yaması, BadSuccessor’un tek aşamalı alan adlı yönetici artışını başarıyla bozar.
Bununla birlikte, Active Directory’de korunmasız ve KDC’ye uygulanmayı değiştirerek bağlantı attribute modifikasyonlarını bırakarak, altta yatan teknikler devam eder.
Saldırganlar, gereksinimler ve telemetride farklılık gösteren yeni ilkeller aracılığıyla kimlik hırsızlığı ve yanal hareket için DMSA’dan yararlanabilir.
Savunucular, gelişen kötüsülesör tehdidini tam olarak azaltmak için tespiti ayarlamalı ve delegasyonu sertleştirmelidir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!