Akamai araştırmacıları, Windows Server 2025 DMSA özelliğinde, saldırganların herhangi bir Active Directory kullanıcısından ödün vermesini sağlayan kritik bir kusur ortaya koyuyor. Badsuccessor saldırısı ve hafifletme adımları hakkında bilgi edinin.
Windows Server 2025’te Active Directory’yi (AD) kullanan kuruluşlar için ciddi bir tehdit oluşturan önemli bir güvenlik kusuru ortaya çıkmıştır. Akamai araştırmacısı Yuval Gordon tarafından keşfedilen bu ayrıcalık yükseltme kırılganlığı, kötü niyetli aktörlerin minimum başlangıç erişimiyle bile bir kuruluşun reklamı içindeki herhangi bir kullanıcı hesabı üzerinde tam kontrol sahibi olmasına izin verebilir.
Kötüsülçü saldırısı açıkladı
Akamai’nin sadece hackread.com ile paylaşılan araştırmasına göre, güvenlik açığı, Windows Server 2025’te delege yönetilen hizmet hesapları (DMSA) adı verilen yeni bir özellikten yararlanıyor. Bilgileriniz için DMSA’lar, yeni bir DMSA’ya izin vererek hizmet hesaplarının yönetimini kolaylaştırmak için tasarlanmıştır. miras almak Değiştirdiği eski bir hesaptan izinler.
Ancak Gordon’un araştırması bu süreçte kritik bir gözetim ortaya koydu. Saldırganlar, bir DMSA nesnesindeki iki özelliği değiştirerek bu geçişi simüle edebilir: msDS-ManagedAccountPrecededByLink Ve msDS-DelegatedMSAState. İlk özniteliği bir hedef kullanıcıya ve ikincisini “2” e (geçiş tamamlamayı gösteren) referans alacak şekilde ayarlayarak, bir saldırgan sistemi meşru bir göçün meydana geldiğine inanmak için kandırabilir.
Bu aldatıcı eylem, dublaj Banyo başarısı Araştırmacılar tarafından, saldırganın DMSA’sının, Domain Denizcileri gibi son derece ayrıcalıklı hesaplar da dahil olmak üzere hedeflenen kullanıcının tüm izinlerini otomatik olarak kazanmasına izin verir. En önemlisi, bu saldırı hedeflenen kullanıcının hesabında herhangi bir doğrudan izin gerektirmez, yalnızca bir DMSA oluşturma veya kontrol etme yeteneği.
Yaygın etki ve anında yama yok
Bu keşfin sonuçları geniş kapsamlıdır. Akamai’nin analizi, test edilen ortamların% 91’inde, etki alanı yöneticileri grubunun dışındaki kullanıcıların bu saldırıyı yürütmek için zaten gerekli izinlere sahip olduklarını ortaya koydu. Bu, Active Directory’ye dayanan kuruluşlar arasında yaygın bir uzlaşma potansiyelini vurgulamaktadır.
Daha da önemlisi, Microsoft sorunu 1 Nisan 2025 tarihli bir rapordan sonra kabul etti, ancak şu anda yok. Microsoft, güvenlik açığını ılımlı bir ciddiyet olarak değerlendirmiş olsa da, ilk sömürünün bir DMSA nesnesinde mevcut izinler gerektirdiğini belirterek, Akamai araştırmacıları güçlü bir şekilde katılmıyor.
Kullanıcılara sıklıkla verilen iyi huylu bir izin olan yeni bir DMSA oluşturma yeteneğinin tam alan uzmasına yol açabileceğini vurgularlar. Etkisini DCSYNC gibi son derece kritik saldırılarla karşılaştırırlar.
Araştırmacılar blog yazısında, “Bu güvenlik açığı, bir OU’da CreateChild izinleri olan herhangi bir kullanıcının etki alanındaki herhangi bir kullanıcıyı tehlikeye atmasını ve DCSYNC saldırıları gerçekleştirmek için kullanılan çoğaltma dizin değişiklikleri ayrıcalığına benzer bir güç kazanmasını mümkün kılan daha önce bilinmeyen ve yüksek etkili bir istismar yolu getiriyor.
Proaktif önlemler ve devam eden riskler
Microsoft’tan derhal bir düzeltme yapmadan, kuruluşların maruz kalmalarını azaltmak için proaktif adımlar atmaları istenir. Temel öneriler, yeni DMSA nesnelerinin izlenmesini içerir ve msDS-ManagedAccountPrecededByLink öznitelik, DMSA kimlik doğrulama olaylarını izleme ve kuruluş birimlerinde (OUS) izinleri gözden geçirme.
Windows Server 2025 daha yaygın olarak benimsendikçe, kuruluşlar yeni özellikleriyle ilişkili riskleri anlamaya ve azaltmaya öncelik vermelidir.