Yönetişim ve Risk Yönetimi, Güvenlik Operasyonları, Güvenlik Açığı Değerlendirmesi ve Penetrasyon Testi (VA/PT)
Semperis, Windows Server 2025’te Delege Edilen Yönetilen Hizmet Hesaplarında Kusur Uyardı
Prajeet Nair (@prajeaetspeaks) •
17 Temmuz 2025
Araştırmacılar, Windows Server 2025’in delege ettiği yönetilen hizmet hesaplarında veya DMSAS’taki kritik bir şifreli kusur, saldırganların bir Active Directory ormanındaki her yönetilen hizmet hesabı için şifre oluşturmasına ve bir arka kapı oluşturmasına izin veriyor.
Ayrıca bakınız: Güvenli Erişim Yeniden Tanımlandı: VPN Vs. Ztna
Semperis araştırmacıları bir raporda, “Altın DMSA saldırısı, Microsoft’un Windows Server 2025’teki en son güvenlik yeniliğini zayıflatabilecek bir şifreleme kırılganlığından yararlanıyor.” Dedi. Diyerek şöyle devam etti: “Bu teknik, delege yönetilen hizmet hesaplarının mimari temelinden yararlanıyor.”
Altın DMSA tekniği, ManagedPasswordID yapısındaki öngörülebilir zaman tabanlı bileşenleri kötüye kullanarak Microsoft’un amaçlanan güvenlik modelini atlar. “Saldırı kritik bir tasarım kusurundan yararlanıyor: ManagedPasswordID yapısı, sadece 1.024 olası kombinasyona sahip öngörülebilir zamana dayalı bileşenler içeriyor ve bu da kaba kuvvet şifre üretimini hesaplama açısından önemsiz hale getiriyor.”
KDS kök tuşuna erişim ile, bir saldırgan DMSA ve GMSA için geçerli kimlik bilgileri oluşturabilir ve geleneksel korumaları atlayabilir. “Bu, tek bir başarılı KDS kök anahtarı ekstraksiyonunun alanlar arası hesap uzlaşmasına dönüştüğü anlamına gelir. Hiçbir alan sınırı bizi durduramaz. Orman çapındaki kimlik bilgisi hasat. Her alandaki her DMSA savunmasız hale gelir. Sınırsız yanal hareket. Will’de, KISE KISE’si kullanılarak sona eren erişim olmadan Will’de atlayabiliriz.
Radiant Logic’in baş evanjelisti ve IAM strateji görevlisi Wade Ellery, keşfin merkezi kimlik mimarisinin daha geniş risklerini vurguladığını söyledi. “BT kaynakları arasında birlikte çalışabilirlik ve aerodinamik yönetim sağlama çabaları olumlu bir yöndür, ancak Fatastrofik riske yol açabilecek tek uzlaşma noktalarına karşı artan güvenlik açığı geliyor.” Dedi.
Microsoft raporu kabul etti, ancak özelliğin asla bir alan denetleyicisi ihlaline karşı savunmak için tasarlanmadığını söyledi. Şirket, 8 Temmuz Semperis’e verdiği yanıtta, “Anahtarı türetmek için kullanılan sırlarınız varsa, o kullanıcı olarak kimlik doğrulaması yapabilirsiniz. Bu özellikler hiçbir zaman bir alan denetleyicisinin uzlaşmasına karşı korunmayı amaçlamadı.” Dedi.
Risk, KDS kök anahtarlarının belirsiz ömrü ile birleştirilir. Semperis, “KDS kök anahtarlarının son kullanma tarihi yok.” Dedi. “Birden fazla KDS kök anahtarına sahip ortamlarda bile, sistem uyumluluk nedenleriyle ilk KDS kök tuşunu sürekli olarak kullanıyor. Bu, tehlikeye attığımız orijinal anahtarın Microsoft’un tasarımı tarafından korunabileceği ve yıllarca sürebilecek kalıcı bir arka kapı oluşturabileceği anlamına geliyor.”
Ellery, kuruluşların daha güçlü yönetişime odaklanmaları gerektiğini söyledi: “Kuruluşların bu anahtarları taç mücevherleri gibi ele almaları, katı bir yönetişim, katmanlı izleme ve en kötü senaryonun hasarını sınırlamak için sıfır güven ilkeleri uygulaması gerekiyor.”
Microsoft ayrıca bazı korumaların geçici olarak askıya alındığını açıkladı. Şirket, “Nisan Windows Güvenlik Güncellemesi KB50555523’ten başlayarak, kimlik bilgisi koruma korumalı makine hesapları Windows Server 2025 ve Windows 11, 24H2 sürümünde geçici olarak devre dışı bırakıldı.” Dedi. “Bu özellik, Kerberos kullanarak makine şifresi rotasyonu ile ilgili bir sorun nedeniyle devre dışı bırakıldı.”
Golden DMSA da mevcut savunma araçlarından kaçıyor. Semperis araştırmacıları, “Altın DMSA aktivitesinin tespiti, hafifletmeyi zorlaştırarak manuel günlük konfigürasyonu ve denetimi gerektiriyor.” Dedi. “Varsayılan olarak, bir KDS kök tuşu tehlikeye girdiğinde hiçbir güvenlik olayı günlüğe kaydedilmez.”