Windows Server 2025’te saldırganların Active Directory’deki (AD) herhangi bir kullanıcıyı tehlikeye atmasını mümkün kılan bir ayrıcalık artış kusuru gösterilmiştir.
Akamai Güvenlik Araştırmacısı Yuval Gordon, hacker News ile paylaşılan bir raporda, “Saldırı, Windows Server 2025’te tanıtılan Delegedilmiş Yönetilen Hizmet Hesabı (DMSA) özelliğinden yararlanıyor, varsayılan yapılandırma ile çalışıyor ve uygulanması önemsiz.” Dedi.
Diyerek şöyle devam etti: “Bu sorun büyük olasılıkla, incelediğimiz ortamların% 91’inde reklama dayanan çoğu kuruluşu etkiliyor, etki alanı yöneticileri grubunun dışında bu saldırıyı gerçekleştirmek için gerekli izinlere sahip kullanıcıları bulduk.”
Saldırı yolunu dikkate değer kılan şey, mevcut bir eski hizmet hesabından geçişe izin veren delege Yönetilen Hizmet Hesapları (DMSA) adı verilen yeni bir özellikten yararlanmasıdır. Windows Server 2025’te Kerberoasting saldırılarını hafifletme olarak tanıtıldı.
Saldırı tekniği kodlandı Banyo başarısı Web Altyapısı ve Güvenlik Şirketi tarafından.
Microsoft, “DMSA, kullanıcıların bağımsız bir hesap olarak oluşturmalarına veya mevcut bir standart hizmet hesabını değiştirmelerine izin veriyor.” “Bir DMSA mevcut bir hesabın yerini aldığında, şifresini kullanarak mevcut hesaba kimlik doğrulaması engellenir.”
“Talep, önceki hesabın reklamda erişebileceği her şeye erişebilecek DMSA kullanarak kimlik doğrulaması için yerel Güvenlik İdaresi’ne (LSA) yönlendirilir. DMSA, hizmet hesabının kullanılacağı cihazları otomatik olarak öğrenir ve daha sonra mevcut tüm hizmet hesaplarından hareket etmek için kullanılır.”
Akamai tarafından tanımlanan sorun, DMSA Kerberos kimlik doğrulama aşaması sırasında, bir temel dağıtım merkezi (KDC) tarafından yayınlanan bir bilet verme biletine (yani, kimliği doğrulamak için kullanılan kimlik bilgileri) yerleştirilmiş ayrıcalık öznitelik sertifikasının (PAC), hem DMSas Güvenlik Hesabının (SID) yanı sıra SID’lerini ve tüm ilişkili tüm ilişkili gruplarını içermesidir.
Hesaplar arasındaki bu izin aktarımı, DMSA geçiş sürecini, etki alanı yöneticileri de dahil olmak üzere herhangi bir kullanıcıyı tehlikeye atmak ve bir kuruluşun Windows Server 2025 alanı hiç DMS kullanmasa bile tüm alan adını etkili bir şekilde ihlal etmek için DMSA geçiş sürecini simüle ederek potansiyel bir ayrıcalık artış senaryosunun kapısını açabilir.
Gordon, “Bu ‘simüle edilmiş göç’ tekniği hakkında ilginç bir gerçek, yerini alan hesap üzerinde herhangi bir izin gerektirmemesidir.” Dedi. “Tek gereksinim, bir DMSA’nın özellikleri üzerine izin yazmaktır. Herhangi bir DMSA.”
“Bir DMSA’yı bir kullanıcının öncesi olarak işaretledikten sonra, KDC otomatik olarak meşru bir göçün gerçekleştiğini varsayar ve DMSA’ya orijinal kullanıcının haklı halefiymiş gibi her iznini mutlu bir şekilde verir.”
Akamai, 1 Nisan 2025’te Microsoft’a bulguların bildirildiğini, bunun ardından teknoloji devinin sorunu şiddet açısından ılımlı olarak sınıflandırdığını ve başarılı bir sömürünün DMSA nesnesi üzerinde özel izinlere sahip olmasını gerektirmesi nedeniyle derhal servis için çubuğu karşılamadığını söyledi. Ancak, şu anda çalışmalarda bir yama var.
Saldırı için derhal bir düzeltme olmadığı göz önüne alındığında, kuruluşların mümkün olan her yerde DMSA oluşturma ve izinleri sertleştirme yeteneğini sınırlamaları tavsiye edilir. Akamai ayrıca DMSA oluşturabilen ve her müdürün bu iznine sahip olduğu organizasyonel birimleri (OUS) listeleyebilen tüm default olmayan tüm prensipleri numaralandırabilecek bir PowerShell betiği yayınladı.
Gordon, “Bu güvenlik açığı, bir OU’da CreateChild izinleri olan herhangi bir kullanıcının etki alanındaki herhangi bir kullanıcıyı tehlikeye atmasını ve DCSYNC saldırılarını gerçekleştirmek için kullanılan çoğaltma dizin değişiklikleri ayrıcalığına benzer güç kazanmasını mümkün kılan daha önce bilinmeyen ve yüksek etkili bir istismar yolu getiriyor.” Dedi.