Windows Server 2025’teki bir ayrıcalık artış güvenlik açığı, saldırganlar tarafından Active Directory’deki herhangi bir kullanıcıyı (AD) alan adları dahil olmak üzere kullanılabilir.
” [“BadSuccessor”] Saldırı, Windows Server 2025’te tanıtılan, varsayılan yapılandırma ile çalışan ve uygulanması önemsizdir ”diye uyardı. Akamai araştırmacısı Yuval Gordon.
Badsuccessor saldırı tekniği açıklandı
Yardımcı özellik, kuruluşların uygulamalar ve sistemler tarafından kullanılan eski yönetilmeyen hizmet hesaplarının daha güvenli delege edilmiş yönetilen hizmet hesaplarıyla değiştirilmesine yardımcı olmak için tanıtıldı.
Taşıma süreci eski bir hesabı ve bir DMSA’yı birleştirir ve ikincisini izinlerini sorunsuz bir şekilde devralır, ancak Akamai araştırmacıları, ayrıcalıkların bu otomatik mirasının, temel dağıtım merkezinin DMSA’nın hangi miras hesabının yerini aldığını belirlemek için dayandığı tek bir özniteliğe bağlı olduğunu keşfettiler.
Bu bilgileri göz önünde bulundurarak, birkaç saldırı yolunu araştırdılar.
İlk olarak, oluşturdukları yeni bir DMSA’ya kontrol ettikleri bir kullanıcı hesabının izinlerini taşımaya çalıştılar, ancak bu kullanıcı olarak kimlik doğrulaması yaptı, ancak başarısız oldukları için başarısız oldular, Migrateadserviceaccount rootdse operasyon.
Daha sonra DMSA nesnesine bir öznitelik ayarlamayı denediler ve yerini alan hesaba bağlamak için ve geçişin tamamlandığını gösteren bir değer ve işe yaradı!
Bunu yapmak için önce yeni bir DMSA oluşturmak zorunda kaldılar ve yeni DMS oluşturma yeteneğinin ayrıcalıklı aktif dizin grupları için ayrılmadığını keşfettiler: MSDS-DelegedManagedServiceAccount Oluştur veya alan adındaki herhangi bir organizasyon birimindeki “tüm alt nesneleri oluştur” izinleri bunları oluşturabilir.
Böylece, “tüm alt nesneler oluştur” izinleri olan ürünsiz kullanıcılara sahip bir organizasyon birimi buldular ve bunları yeni bir DMSA oluşturmak için kullandılar. Sonra ayarladılar MSDS-MANAGEDACTPRECEDYLINK bağlantı için öznitelik herhangi Kullanıcı veya bilgisayar hesabı DMSA’ya ve “Geçiş Komple” değerini ayarlar ve Voilà: oluşturulan DMSA, bu hesap üzerinde izinlere sahip olmak zorunda kalmadan, yerine geçen hesabın izinlerini “devraldı”.
Son olarak, Rubeus aracını, Anahtar Dağıtım Merkezi’nden (KDC) bilet vermek için kullandılar, bu da bilet verme hizmetinden (TGS) erişim belirteçleri istemelerine izin verdiler.
Gordon, “Sadece iki öznitelik değişikliği ile mütevazi bir yeni nesne halefi taçlandırıyor – ve KDC kan hattını asla sorgulamıyor; eğer bağlantı oradaysa, ayrıcalıklar veriliyor. Tek bir grup üyeliğini değiştirmedik, mevcut herhangi bir hesabı yükseltmedik ve herhangi bir geleneksel ayrıcalık artış uyarısını gezmedik” dedi.
Bu teknik, bir DMSA nesnesini denetleyen herhangi bir kullanıcının tüm etki alanı üzerinde kontrol elde etmesine izin verir.
Bir yama sunulana kadar ne yapmalı?
Gordon, “Bu sorun, incelediğimiz ortamların% 91’ine dayanan çoğu kuruluşu etkiliyor. Etki alanı yöneticileri grubunun dışında bu saldırıyı gerçekleştirmek için gerekli izinlere sahip kullanıcıları bulduk” dedi.
” [dMSA] En az bir Windows Server 2025 Etki Alan Denetleyicisi (DC) ile herhangi bir alanda yaptığı özellik var, kullanılabilir hale gelir [to attackers]. “
Araştırmacılar Microsoft’a keşifleri hakkında bilgi verdiler ve şirket bir düzeltme üzerinde çalışıyorlar, ancak bu arada kuruluşlara DMS oluşturma iznini yalnızca güvenilir yöneticilere sınırlamaları tavsiye ediliyor. (Akamai, kuruluşların bu izni ‘kaybetmesi’ gereken müdürleri tanımlayabileceği bir senaryo yayınladı.)
Kurumsal savunucular ayrıca DMSA oluşturma etkinliklerini günlüğe kaydetmeye ve adlandırmaya, öznitelik değişikliklerini izlemeye ve DMSA kimlik doğrulama olaylarını izlemeye başlamalıdır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!