Windows Server 2025’te tanıtılan delege Yönetilen Hizmet Hesapları (DMSA), Microsoft’un Güvenli Hizmet Hesap Yönetimi’ndeki en son inovasyonunu temsil eder.
Kerberoasting gibi geleneksel kimlik bilgisi hırsızlığı saldırılarını önleyerek güvenliği artırmak için tasarlanmış olsa da, güvenlik araştırmacıları, saldırganların Active Directory ortamlarında sürekli erişim sağlamasına izin verebilecek potansiyel istismar vektörlerini ortaya çıkardılar.
DMSA, geleneksel hizmet hesaplarıyla uzun süredir devam eden sorunları çözmek için oluşturuldu. Manuel şifre yönetimi gerektiren standart hesapların aksine, DMSAS otomatik kimlik bilgisi yönetimi sağlar ve doğrudan makine kimliklerine bağlantı kimlik doğrulaması sağlar.
.png
)
Microsoft belgelerine göre, “DMSA, geleneksel hizmet hesaplarına kıyasla hizmet hesabı yönetimine daha güvenli ve yönetilebilir bir yaklaşımdır”.
Teknoloji, yöneticilerin, orijinal hesabın şifre kimlik doğrulamasını devre dışı bırakırken, yeni DMSA mekanizmasını kullanarak yerel güvenlik otoritesi (LSA) aracılığıyla tüm istekleri yeniden yönlendirirken, yöneticilerin geleneksel hizmet hesaplarından geçmesine olanak tanır.
Bu özellik, kimlik bilgisi hırsızlık risklerini ortadan kaldırmak için özel olarak tasarlanmıştır.
Kalıcılık vektörü
Matan Bahar’a göre, gelişmiş güvenlik kontrollerine rağmen, DMSA potansiyel olarak geçici olarak yüksek ayrıcalıklar kazanan saldırganlar tarafından istismar edilebilir. Saldırı, DMSA nesnelerinin erişim kontrol listelerini (ACL’ler) hedefler.
Temel güvenlik açığı “Yönetilen Hizmet Hesapları” kapsayıcısında ve izin miras yapısında yer almaktadır.
Domain yöneticisi erişimi olan bir saldırgan, geçici olarak bile, ayrıcalıklı erişimleri iptal edildikten sonra DMSA hesaplarına erişimi sağlamak için ACL’leri değiştirebilir.
Saldırı, Yönetilen Hizmet Hesapları Konteyneri’nde “Genericall” izinleri alarak başlar:
Konteynerde “jenerikAl” izinleri olması, alt nesnelere otomatik olarak erişim sağlamazken, saldırganlar miras tüm DMSA nesnelerine zorlayabilir:
Bu komutlar mevcut ve gelecekteki tüm DMSA nesneleri üzerinde kalıcı kontrol oluşturur. Saldırgan o zaman:
- DMSA nesnelerinin sahipliğini değiştirin.
- Kontrolleri altında yeni DMSA hesapları oluşturun.
- PrensiplowledToreRiVievemanAgpassword özelliğini tehlikeye atılan hesaplarını içerecek şekilde değiştirin.
Azaltma
Windows Server 2025’i dağıtan kuruluşlar şu korumaları uygulamalıdır:
- “Yönetilen Hizmet Hesapları” konteyneri ACL’lerinde değişiklikleri yakından izleyin
- Grup ilkesi ayarını etkinleştirin: “Bilgisayar Yapılandırması \ Yönetici Şablonlar \ System \ Kerberos \ Yalnızca Yetkili Sistemlerde Delegedilmiş Yönetilen Hizmet Hesap Oturum Açmalarını Etkinleştir”
- DMSA nesnelerine “Yaz” erişimini gösteren Olay Kimliği 4662 için izleyin.
- Active Directory yönetim gruplarına en az ayrıcalık erişimini uygulayın.
- Pingcastle veya Bloodhound gibi araçları kullanarak kritik kaplarda ACL değişikliklerini düzenli olarak denetleyin.
DMSA’lar geleneksel hesaplar üzerinden hizmet hesabı güvenliğini önemli ölçüde artırırken, kuruluşlar potansiyel istismar vektörleri konusunda uyanık kalmalıdır.
Rapora göre, DMSA tarafından sunulan güvenlik iyileştirmeleri, özellikle uygun izleme ve erişim kontrolleri uygulandığında risklerden daha ağır basıyor.
Microsoft, Windows Server 2025’i geliştirmeye devam ettikçe, DMSA yönetimi etrafında ek güvenlik denetimleri muhtemelen bu yeni keşfedilen kalıcılık tekniklerini ele almak için ortaya çıkacaktır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri