Siber güvenlik araştırmacıları, Windows Server 2025’te tanıtılan devredilmiş yönetilen hizmet hesaplarında (DMSA) “kritik bir tasarım kusuru” olduğunu söylediklerini açıkladılar.
Hacker News ile paylaşılan bir raporda Semperis, “Kusur, yüksek etkili saldırılara neden olabilir, bu da alan arası yanal hareket ve tüm yönetilen hizmet hesaplarına ve kaynaklarını aktif dizin üzerindeki süresiz olarak süresiz olarak sağlayabilir.” Dedi.
Farklı bir şekilde, başarılı sömürü, rakiplerin kimlik doğrulama korkuluklarını kaldırmalarına ve tüm delege edilen yönetilen hizmet hesapları (DMSA) ve Grup Yönetilen Hizmet Hesapları (GMSA) ve bunların ilişkili hizmet hesapları için şifreler oluşturmasına izin verebilir.
Kalıcılık ve ayrıcalık yükseltme yöntemine kodlanmıştır Altın DMSAsiber güvenlik şirketi, güvenlik açığının Brute-Force şifre üretimini basitleştirmesi nedeniyle düşük karmaşıklık olarak görüyor.
Bununla birlikte, kötü aktörlerin bundan yararlanabilmesi için, genellikle yalnızca kök alan adları, kurumsal yöneticiler ve sistem gibi ayrıcalıklı hesaplar için mevcut olan bir Anahtar Dağıtım Hizmeti (KDS) kök anahtarına sahip olmalıdırlar.
Microsoft’un GMSA altyapısının taç mücevheri olarak tanımlanan KDS kök anahtarı, bir saldırganın etki alanı denetleyicisine bağlanmak zorunda kalmadan herhangi bir DMSA veya GMSA hesabı için geçerli şifreyi türetmesine izin veren bir ana anahtar olarak hizmet eder.
Güvenlik araştırmacısı Adi Malyanker, “Saldırı kritik bir tasarım kusurundan yararlanıyor: Parola nesil hesaplaması için kullanılan bir yapı, sadece 1.024 olası kombinasyona sahip öngörülebilir zaman tabanlı bileşenler içeriyor ve bu da kaba kuvvet şifre üretimini hesaplama açısından önemsiz hale getiriyor.” Dedi.
Yetkili Yönetilen Hizmet Hesapları, Microsoft tarafından mevcut bir eski hizmet hesabından geçişi kolaylaştıran yeni bir özelliktir. Kerberoasting saldırılarına karşı koymanın bir yolu olarak Windows Server 2025’te tanıtıldı.
Makine hesapları, kimlik doğrulamasını doğrudan Active Directory’deki (AD) açık bir şekilde yetkilendirilmiş makinelere bağlar, böylece kimlik belgesi hırsızlığı olasılığını ortadan kaldırır. Kimlik doğrulamasını cihaz kimliğine bağlayarak, yalnızca AD’de eşlenen makine kimlikleri hesaba erişebilir.
Golden GMSA Active Directory saldırılarına benzer şekilde Golden DMSA, bir saldırgan bir alan adında yüksek ayrıcalıklar elde ettikten sonra dört adımdan fazla oynar –
- Etki alanı denetleyicilerinden birinde sistem ayrıcalıklarına yükselterek KDS kök anahtar malzemesini çıkarma
- LSAOPenPolicy ve LSAlookupSIDS API’leri veya Hafif Dizin Erişim Protokolü (LDAP) tabanlı yaklaşımla DMSA hesaplarının numaralandırılması
- Hedefli tahmin yoluyla ManagedPasswordID özniteliğini ve parola karmalarını tanımlama
- Meydan okulu anahtarla ilişkili herhangi bir GMSA veya DMSA için geçerli şifreler (yani, Kerberos biletleri) oluşturmak ve bunları karma geçerek test etmek veya karma teknikleri üstesinden gelmek
Malyanker, “Bu işlem, KDS kök tuşu elde edildikten sonra ek ayrıcalıklı erişim gerektirmiyor, bu da onu özellikle tehlikeli bir kalıcılık yöntemi haline getiriyor.” Dedi.
“Saldırı, yönetilen hizmet hesaplarının kritik güven sınırını vurgulamaktadır. Güvenlik için etki alanı düzeyinde kriptografik anahtarlara güveniyorlar. Otomatik şifre rotasyonu, tipik kimlik bilgisi saldırılarına, alan adları, dnsadmins ve baskı operatörleri bu korumaları tamamen atlayabilir ve ormandaki tüm DMSA’ları ve GMS’yi destekleyebilir.”
Semperis, Altın DMSA tekniğinin, orman içindeki herhangi bir alandan KDS kök anahtarını tehlikeye atmanın, o ormandaki tüm alanlardaki her DMSA hesabını ihlal etmek için yeterli olduğunu göz önüne alındığında, ihlali orman çapında kalıcı bir arka kapıya dönüştürdüğünü belirtti.
Başka bir deyişle, uzlaşmış DMSA hesaplarını kullanarak alanlar arası hesap uzlaşması, orman çapındaki kimlik bilgisi hasat ve alanlar arasında yanal hareket elde etmek için tek bir KDS kök anahtarı ekstraksiyonu silahlandırılabilir.
Malyanker, “Birden fazla KDS kök anahtarına sahip ortamlarda bile, sistem uyumluluk nedenleri için sürekli olarak ilk (en eski) KDS kök tuşunu kullanıyor.” “Bu, tehlikeye attığımız orijinal anahtarın Microsoft’un tasarımı ile korunabileceği anlamına geliyor – yıllarca sürebilecek kalıcı bir arka kapı yaratıyor.”
Daha da önemlisi, saldırının, NTLM şifre karmalarını, Kerberos bilet bileti (TGT) ve kimlik bilgilerini güvence altına almak için kullanılan normal kimlik koruma korumalarını tamamen azaltmasıdır.
27 Mayıs 2025’teki sorumlu açıklamanın ardından Microsoft, “Anahtarı türetmek için kullanılan sırlarınız varsa, bu kullanıcı olarak kimlik doğrulaması yapabilirsiniz. Bu özellikler hiçbir zaman bir etki alanı denetleyicisinin uzlaşmasına karşı korunmayı amaçlamamıştır.” Dedi. Semperis ayrıca saldırıyı göstermek için konsept kanıtı (POC) olarak açık bir kaynak yayınladı.
Malyanker, “Bir DC uzlaşması olarak başlayan şey, tüm bir kuruluş ormanında DMSA korumalı her hizmete sahip olmak için artıyor.” Dedi. Diyerek şöyle devam etti: “Bu sadece ayrıcalık yükselmesi değil. Tek bir şifreleme kırılganlığı ile kurumsal çapında dijital hakimiyet.”