Kimlik için Microsoft Defender (MDI) ‘da yeni açıklanan bir sahtekarlık güvenlik açığı (CVE-2025-26685), kimlik doğrulanmamış saldırganların kritik dizin hizmet hesaplarının (DSA’ların net-ntlm karmalarını yakalamasını sağlar, bu da potansiyel olarak Active Directory ortamlarını tehlikeye atar.
CVSS v3.1 ölçeğinde 6.5 (orta) olarak derecelendirilen bu kusur, MDI’nın Lateral Hareket Yolları (LMPS) özelliğinden yararlanır ve Microsoft’un Mayıs 2025 Yaması Salı güncellemelerinde aktif olarak ele alınmıştır.
Teknik döküm
Rapora göre, güvenlik açığı MDI’nın LMP’leri haritalamak için SAM-R protokol sorgularını kullanmasından kaynaklanmaktadır-Active Directory’deki ayrıcalık artış yollarını görselleştirmek için tasarlanmış güvenlik özellikleri.
.png
)
Saldırganlar, etki alanı denetleyicilerine anonim KOBİ bağlantıları başlatarak bu sorguları tetikleyebilir ve MDI sensörünü Kerberos yerine NTLM üzerinden kimlik doğrulamaya zorlar.
Anahtar Sömürü Gereksinimleri:
- DNS kaydına sahip saldırgan kontrollü sistem (genellikle Windows DHCP aracılığıyla otomatik olarak oluşturulur)
- SMB NULL Oturum Denemeleri sırasında Domain Denetleyicileri Üzerinde Windows Olay Kimliği 4672 Üretimi1
Sömürü iş akışı
Saldırganlar, çok aşamalı bir saldırı yürütmek için impaket ve sertifika gibi araçlardan yararlanır:
- Karma yakalama
bash# Initiate SMB listener
impacket-smbserver share $(pwd) -smb2support
# Trigger MDI sensor via SMB null session
rpcclient -U "" -N 10.0.0.1
Bu, MDI sensörünün DSA’sını net-ntlmv1/v2 karmaşasını ortaya çıkararak kimlik doğrulamaya zorlar.
- Karma röle (ESC8 güvenlik açığı aracılığıyla)
bash# Relay hash to ADCS Web Enrollment endpoint
certipy relay -target http://adcs-ca.domain.local
# Request certificate for DSA
certipy auth -pfx dsa_cert.pfx -dc-ip 10.0.0.1
Başarılı aktarma Saldırganları DSA ayrıcalıkları, yanal hareket sağlayarak.
Etki analizi
| Bileşen | Risk |
|---|---|
| DSA Hesapları | Karma çatlama/aktarma yoluyla ayrıcalık artışı |
| Sertifika otoritesi | Kötü amaçlı sertifika verimi |
| Yanal hareket | Eşlenmiş LMP’lere sınırsız erişim |
DSA’nın varsayılan izinleri-Active Directory’nin silinen nesneler konteynerine okuma erişimi de dahil olmak üzere saldırganların reklam topolojisini yeniden yapılandırmasına ve yüksek değerli hedefleri tanımlamasına izin verir.
Tespit stratejileri
Microsoft şu şekilde izlenmenizi önerir:
- Anormal DSA kimlik doğrulaması
- Windows Olay Kimliği 4624 Alan dışı denetleyici IPS1’den
- ADCS Şablon numaralandırması metin
(objectClass=certificationAuthority)(objectclass=pKICertificateTemplate) - Sertifika tabanlı TGT istekleri
- Windows Olay Kimliği 4768 Ön kimlik doğrulama tipi 161
| Çözüm | Klasik MDI sensörü | Birleşik XDR Sensörü |
|---|---|---|
| Kimlik doğrulama protokolü | SAM-R (NTLM/KERBEROS) | WMI (sadece Kerberos) |
| LMP eşleme yöntemi | Yerel Yönetici Sorguları | Davranışsal analitik |
| Güvenlik Açığı Durumu | Etkilenen | Savunmasız değil |
Microsoft, XDR sensörlerine (v3. X+) geçişi zorunlu kılar:
- Standart DSA hesaplarını Grup Yönetilen Hizmet Hesapları (GMSAS) ile değiştirme
- Altyapı ile uyumsuzsa LMP’leri destek isteği yoluyla devre dışı bırakma
powershell# Convert DSA to gMSA
New-MDIDSA -Identity "DefenderIdentity" -ForceStandardAccount:$false
Bu güvenlik açığı, güvenlik ürünlerinde aşırı bırakılan hizmet hesaplarının risklerini vurgulamaktadır.
Yamalar acil tehditleri hafifletirken, kuruluşlar üçüncü taraf güvenlik araçlarının reklam entegrasyonlarını denetlemeli ve katı NTLM rölesi korumalarını uygulamalıdır.
MDI’nın LMP’leri ve ADCS güvenlik açıklarının kesişimi, zincirlenmiş istismarların orta yüzlük kusurlarını nasıl alan çapında uzlaşmaya dönüştürebileceğini göstermektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin