Güvenlik işlemleri
Akamai Araştırmacılar Windows Server 2025’te ‘Badsucesör’ bayrağı
Prajeet Nair (@prajeaetspeaks) •
21 Mayıs 2025
Windows Server 2025’te, varsayılan yapılandırmada sömürmek ve mevcut olan “önemsiz” olan bir kusur, yükseltme ve tam alan uzlaşmasını ayrıcalıklı hale getirmek için bir kısayol, Akamai’den yeni araştırmalar uyarıyor.
Ayrıca bakınız: Talep üzerine | Bulut ortamlarında çeviklik, maliyet ve risk dengeleme
Kusur, Microsoft’un eski bir hizmet hesabını daha yeni ve daha güvenli bir makine hesabına taşımaya kolay bir yol olarak başlattığı delegedilmiş yönetilen hizmet hesapları veya DMSA olarak bilinen yeni bir hesap türünde bulunur.
Makine kimliklerinin sayısı – genellikle yetersiz güvenli ve aşırı ayrıcalıklı – patladı ve siber savunucular için zorluklar yarattı. Microsoft, DMSA için kimlik doğrulaması cihaz kimliğine bağlı olduğundan, bilgisayar korsanlarının Active Directory kimlik bilgilerini tehlikeye atmasını önlemek için DMSA’yı sundu. Microsoft, “Yalnızca Active Directory’de eşleştirilen belirtilen makine kimlikleri hesaba erişebilir.”
DMSA’nın önemli bir unsuru, yerini aldığı yerine geçen hesabın izinlerini miras almasıdır. Hacker’ların sömürebileceği bir özellik, DMSA sömürü tekniğini “kötüsükleyici” olarak vaftiz eden bir blog yazısında Akamai araştırmacısı Yuval Gordon yazdı.
Saldırı, Windows’un DMSA geçişlerini işleme yoluna bağlı. Bir DMSA nesnesini kontrol edebilen herhangi bir kullanıcının temel dağıtım merkezine yeni bir hesabın eski bir hesabın yerini aldığını ve daha sonra bu eski hesabın izinleri ve şifreleme anahtarlarını almasını sağlayan “simüle edilmiş bir geçiş” e atılabilir. “Her şey bu. Gerçek göç yok. Doğrulama yok. Gözetim yok.”
Anahtar Dağıtım Merkezi tek bir özellik çağırıyor, msDA-ManagedAccountPrecededByLinkDMSA’nın hangi hesabı değiştireceğini belirlemek için. “Bir DMSA kimlik doğrulaması yaptığında, [privilege attribute certificate] sadece bu bağlantıya dayanarak inşa edilmiştir. “
Badsuccessor ile başlamak için, bir saldırganın zaten bir Active Directory organizasyon biriminde izinlere ihtiyacı olacaktı, yani zaten bir ihlalin olması gerekecekti. Ancak yöntemin gizli olması, Yasa’ya yakalanmadan yüksek ayrıcalıklara ihtiyaç duyan saldırganlar için bir nimet olurdu. Akamai, “Tek bir grup üyeliğini değiştirmedik, mevcut herhangi bir hesabı yükseltmedik ve geleneksel ayrıcalık artış uyarılarını gezmedik.”
Gordon, bilgi güvenliği medya grubuna DMSA’ya olan ilgisini çeken şeyin izinleri devralmak için tasarımı olduğunu söyledi. Gordon, “Bu tür bir davranış, bir güvenlik araştırmacısı olarak ilgimi çekiyor, kırılmış gibi göründüğü için değil, doğası gereği güçlü bir operasyon olduğu için” dedi.
Akamai’nin zaman çizelgesi, 1 Nisan’da Microsoft’a kötüsesör bildirdiğini gösteriyor. Şirket, Microsoft’un istismarın “ılımlı bir ciddiyet” olduğunu değerlendirdiğini söylüyor – Akamai’nin saldırı potansiyelini hafife aldığını söylüyor. Gordon, “Bir saldırganın doğru izinlere sahip olduğunda, sadece birkaç PowerShell komutunda bir DMSA kurabilirler.” Dedi. Diyerek şöyle devam etti: “Daha sonra, istismar etmek için görev zamanlayıcısı gibi yerleşik araçları kullanabilirler, özel ikili dosyalar gerekmez.”
Akamai, kuruluşların kimin DMS oluşturma yeteneğine sahip olduğunu sınırlamasını önerir.