Microsoft’un en yeni Windows Server 2025’teki kritik bir tasarım kusuru, saldırganların kurumsal ağlardaki tüm yönetilen hizmet hesapları için kimlik doğrulamasını atlamasını ve şifreler oluşturmasını sağlar.
“Altın DMSA” olarak adlandırılan güvenlik açığı, yeni tanıtılan delege yönetilen hizmet hesaplarında (DMSA), karmaşık bir şifreleme korumalarını sadece 1.024 deneme gerektiren önemsiz bir kaba kuvvet saldırısına indirgeyen temel bir zayıflıktan yararlanmaktadır.
Semperis güvenlik araştırmacısı Adi Malyanker, Windows Server 2025’te hizmet hesap yönetiminde devrim yapmak için tasarlanmış Microsoft’un amiral gemisi güvenlik yeniliği olan DMSA’nın mimarisini analiz ederken güvenlik açığını keşfetti.
Kerberoasting saldırılarına karşı savunmasız statik şifrelere dayanan geleneksel hizmet hesaplarının aksine, DMSA’lar, kimlik doğrulamasını doğrudan Active Directory’deki yetkili makinelere bağlamak için tasarlandı ve kimlik doğrulamasını kullanıcı tarafından yönetilen şifreler yerine cihaz kimliğine bağlayarak ortadan kaldırdı.
Altın DMSA saldırısı, şifre üretimi için kullanılan yöneticipasswordID yapısında kritik bir tasarım kusurunu kullanarak tüm bu güvenlik modelini baltalıyor.
Bu yapı, sadece 1.024 olası kombinasyona sahip öngörülebilir zamana dayalı bileşenler içerir, bu da hesaplamalı olarak imkansız olması gereken, dakikalar içinde tamamlanabilecek basit bir kaba kuvvet işlemine dönüşür.
Windows Server 2025 Altın DMSA Saldırısı
Saldırı, tek bir etki alanı denetleyicisinin uzlaşmasını orman çapındaki kalıcı erişime dönüştüren sistematik dört fazlı bir yaklaşım izliyor.
İlk olarak, saldırganlar, yönetilen tüm hizmet hesabı şifrelerinin temelini oluşturan Anahtar Dağıtım Hizmetleri (KDS) kök tuşundan kriptografik materyal çıkarırlar.
Daha sonra, kısıtlayıcı erişim kontrol listelerini atlayan özel teknikler kullanarak Active Directory ormanı boyunca DMSA hesaplarını numaralandırırlar.
Üçüncü aşama, hedefe yönelik tahmin yoluyla doğru ManagedPasswordID özniteliklerinin belirlenmesini ve bunu özel araçlar kullanılarak şifre oluşturmayı içerir.
Bu kırılganlığı özellikle tehlikeli kılan şey, kapsamı ve sebatlarıdır. Saldırı orman düzeyinde çalışır, yani tek bir başarılı KDS kök anahtarı ekstraksiyonu, bu ormandaki tüm alanlardaki her DMSA hesabının alan arası yanal hareketi ve uzlaşmasını sağlar.
KDS kök anahtarlarının son kullanma tarihi olmadığından, bu erişim teorik olarak süresiz olarak sürebilir ve tipik güvenlik rotasyonlarından ve güncellemelerinden kurtulan kalıcı bir arka kapı oluşturur.
Semperis, bu güvenlik açığını ılımlı risk olarak derecelendirir, çünkü sömürü sadece en ayrıcalıklı hesaplar için erişilebilir olan bir KDS kök anahtarına sahip olmayı gerektirir: alan adı yöneticileri, kurumsal yöneticiler ve sistem düzeyinde erişim.
Bununla birlikte, araştırmacılar, etkinin son derece yüksek olabileceğini vurgulamakta ve saldırganların kimlik bilgisi koruyucusu gibi modern korumaları atlamasını ve makineye bağlı kimlik doğrulamanın varsayılan güvenlik avantajlarına temel olarak meydan okumalarını sağlar.
Saldırı özellikle ilgilidir çünkü Microsoft’un amaçlanan kimlik doğrulama akışını tamamen atlatır.
Altın DMSA tekniği, makine kimliği doğrulaması gerektiren normal DMSA kimlik doğrulama prosedürlerini izlemek yerine, doğrudan geçerli şifreler oluşturmak için tehlikeye atılmış kriptografik anahtarlar kullanır, kimlik bilgisi korumasını ve benzer korumaları ilgisiz hale getirir.
Altın DMSA etkinliğinin tespiti, kurumsal güvenlik ekipleri için önemli zorluklar sunmaktadır.
Varsayılan olarak, KDS kök anahtarları tehlikeye atıldığında hiçbir güvenlik olayı günlüğe kaydedilmez ve yöneticilerin okuma erişimini denetlemek için KDS kök anahtar nesnelerinde Sistem Erişim Kontrol Listeleri (SACL’ler) manuel olarak yapılandırmasını gerektirir.
Bu yapılandırma boşluğu, saldırıyı gerçek zamanlı olarak özellikle gizli ve tespit edilmesini zorlaştırıyor. Araç GitHub üzerinden kullanılabilir.
Kuruluşlar, hizmet hesaplarını hedefleyen anormal kimlik doğrulama taleplerini ve DMSA hesapları için olağandışı bilet veren bilet taleplerini izleyebilir.
Bununla birlikte, bu göstergeler sofistike günlük analizi gerektirir ve yoğun kurumsal ortamlarda yanlış pozitifler üretebilir.
Microsoft, 27 Mayıs 2025’te Microsoft Güvenlik Müdahale Merkezi’ne gönderilen güvenlik açığı raporunu kabul etti. 8 Temmuz 2025’te yanıt: Şirket, “Anahtarı türetmek için kullanılan sırlar varsa, kullanıcı olarak kimlik doğrulayabilirsiniz. Bu özellikler hiçbir zaman bir domen denetleyicisinin bir müdahalesine karşı korunmaya yönelik olmamıştır.”
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi