Güvenlik araştırmacıları, Windows Server 2025’te tanıtılan yeni bir güvenlik özelliği olan Delege Yönetilen Hizmet Hesapları’nı (DMSA) kullanarak Active Directory ortamlarında kalıcılığa ulaşmak için yeni yöntemler belirlediler.
Otomatik kimlik bilgisi yönetimi yoluyla güvenliği artırmak için tasarlanmasına rağmen, DMSA, kalıcı erişim sağlamak için belirli izinleri olan saldırganlar tarafından manipüle edilebilir.
Bu keşif, gelişmiş saldırganların kurumsal ortamlarda yeni tasarlanmış güvenlik özelliklerini bile tehlikeye atmanın yollarını nasıl bulmaya devam ettiğini vurgulamaktadır.
.png
)
Yetkilendirilmiş Yönetilen Hizmet Hesapları, Microsoft’un Geleneksel Hizmet Hesapları, Yönetilen Hizmet Hesapları (MSA’lar) ve Grup Yönetilen Hizmet Hesapları (GMSA) gibi önceki çözümler üzerine hazırlanan hizmet hesabı güvenliğindeki en son yinelemesini temsil eder.
Seleflerinden farklı olarak, DMSAS, belirli makine kimliklerine kimlik doğrulama bağlar ve etki alanı denetleyicisi tarafından şifrelenen makine hesabı kimlik bilgilerinden kimlik doğrulama sırları türetir.
Bu tasarım, yerel olarak saklanan kimlik bilgilerini ortadan kaldırır, şifre yönetimini otomatikleştirir ve Kerberoasting gibi ortak saldırı vektörlerini önler.
DMSA’ları dağıtırken, daha önce yetkili kaynaklara erişimi sürdürürken mevcut hizmet hesaplarının yerini alırlar.
Önemli bir güvenlik artışı, depolanan anahtarları hırsızlığa karşı koruyan ve yalnızca Active Directory’de uygun şekilde eşlenen yetkili cihazların DMSA’yı kullanabilmesini sağlayarak kimlik temelli saldırılar için saldırı yüzeyini önemli ölçüde azaltmasını sağlayan kimlik koruyucusu ile entegrasyonudur.
Konteyner İzni Kötüye Kullanımı
Bu güvenlik iyileştirmelerine rağmen, araştırmacılar “yönetilen hizmet hesapları” konteynerindeki “genel” izinleri olan saldırganların bu ayrıcalıkları kalıcılık oluşturmak için kötüye kullanabileceğini ortaya çıkardılar.

Saldırı, gibi komutları kullanarak izinleri doğrulayarak başlar. dsacls "CN=Managed Service Accounts,DC=kingdom,DC=local"
veya Active Directory kullanıcıları ve bilgisayarlar aracılığıyla.
Kritik sömürü tekniği, Erişim Kontrol Listesi (ACL) kalıtımını manipüle etmeyi içerir. Yürüterek dsacls "CN=Managed Service Accounts,DC=kingdom,DC=local" /G "KINGDOM\poc:GA" /T /I:S
saldırganlar izin kalıtını çocuk nesnelerine zorlar.
Bu, saldırgana, genellikle alan adlarıyla sınırlı nesnelerin sahipliğini alma yeteneği de dahil olmak üzere, kapsayıcı içindeki tüm DMSA nesneleri üzerinde tam görünürlük ve kontrol sağlar.

Kalıcılık, saldırganın kontrolü altında ek DMS oluşturularak veya ilk uzlaşma keşfedilse bile prensipledtorievemanageSpassword özniteliğine yetkisiz varlıklar ekleyerek, çevreye etkili bir şekilde sürdürerek elde edilir.
Tespit ve Savunma Stratejileri
Windows Server 2025’i uygulayan kuruluşlar, DMSA istismarına karşı korumak için belirli hafifletmeler uygulamalıdır.
Windows 11 24H2 ve Windows Server 2025 istemcileri için, yöneticiler bilgisayar yapılandırması \ Yönetici Şablonları \ System \ Kerberos \ Delege Edilen Yönetilen Hizmet Hesabı Oturum Açmalarını Etkinleştir.

Rapora göre, güvenlik ekipleri, yazma izinleri olan DMSA nesnelerine erişim ile ilgili etkinlikler için izleme oluşturmalıdır, çünkü bunlar potansiyel istismarı gösterebilir.
Ayrıca, kuruluşlar yönetilen hizmet hesapları konteyneri üzerinde sıkı izin kontrolleri uygulamalı, düzenli olarak izin değişiklikleri denetlemeli ve tüm idari hesaplar için en az ayrıcalık prensiplerini takip etmelidir.
Microsoft, her yinelemeyle hizmet hesabı güvenliğini artırmaya devam ediyor, ancak bu keşif, saldırganlar Active Directory ortamlarında özel yüksek izinler kazandığında gelişmiş güvenlik özelliklerinin bile yıkılabileceğini gösteriyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!