Een privilege -escalatie -fout is aangetoond in Windows Server 2025 waardoor aanvallers mogelijk worden om elke gebruiker in Active Directory (AD) compromitteren.
“De aanval maakt gebruik van de DMASA -functie (Delegated Managed Service Account (DMSA) die is geïntroduceerd in Windows Server 2025, werkt met de standaardconfiguratie en is triviaal om te implementeren,” zei Akamai -beveiligingsonderzoeker Yuval Gordon in een rapport gedeeld met het Hacker News.
“Dit probleem is waarschijnlijk van invloed op de meeste organisaties die afhankelijk zijn van AD. In 91% van de omgevingen die we hebben onderzocht, vonden we gebruikers buiten de Domain Admins Group die de vereiste machtigingen had om deze aanval uit te voeren.”
Wat de aanvalspad opmerkelijk maakt, is dat het een nieuwe functie gebruikt genaamd Delegated Managed Service Accounts (DMSA) die migratie van een bestaande legacy -service -account mogelijk maakt. Het werd geïntroduceerd in Windows Server 2025 als mitigatie tot kerberoasting -aanvallen.
De aanvalstechniek is gecodeerd Badsuccessor door de webinfrastructuur- en beveiligingsbedrijf.
“DMSA stelt gebruikers in staat om ze te maken als een op zichzelf staand account, of om een bestaande standaardservice -account te vervangen”, merkt Microsoft op in de documentatie. “Wanneer een DMSA een bestaand account vervangt, wordt de authenticatie van dat bestaande account met behulp van het wachtwoord geblokkeerd.”
“Het verzoek wordt doorgestuurd naar de Local Security Authority (LSA) om te authenticeren met behulp van DMSA, die toegang heeft tot alles wat het vorige account zou kunnen openen in AD. Tijdens migratie leert DMSA automatisch de apparaten waarop het Service -account moet worden gebruikt, die vervolgens wordt gebruikt om van alle bestaande serviceaccounts te gaan.”
Het probleem dat door Akamai is geïdentificeerd, is dat tijdens de DMSA Kerberos Authentication-fase het Privilege Attribute Certificate (PAC) ingebed in een ticket-Granting-ticket (dwz inloggegevens die worden gebruikt om identiteit te verifiëren) uitgegeven door een Key Distribution Center (KDC) zowel de DMSAS-beveiligingsidentifier (SID) omvat zowel de SIDS (SID) (SIDS).
Deze machtigingenoverdracht tussen accounts kan de deur openen naar een potentieel privilege -escalatiescenario door het DMSA -migratieproces te simuleren om een gebruiker, inclusief domeinbeheerders, te compromitteren, en vergelijkbare privileges te krijgen, waardoor het hele domein effectief het hele domein overtreedt, zelfs als het Windows Server 2025 -domein van een organisatie helemaal niet gebruik maakt van DMSAS.
“Een interessant feit over deze ‘gesimuleerde migratie’ -techniek is dat het geen machtigingen nodig heeft over het vervangen verslag,” zei Gordon. “De enige vereiste is om machtigingen te schrijven over de attributen van een DMSA. Elke DMSA.”
“Zodra we een DMSA hebben gemarkeerd zoals voorafgegaan door een gebruiker, gaat de KDC automatisch aan dat een legitieme migratie plaatsvond en verleent het onze DMSA graag elke toestemming die de oorspronkelijke gebruiker had, alsof we de rechtmatige opvolger zijn.”
Akamai zei dat het de bevindingen aan Microsoft op 1 april 2025 rapporteerde, waarna de tech -reus het probleem als matig in ernst heeft geclassificeerd en dat het niet aan de lat voldoet voor onmiddellijke onderhoud vanwege het feit dat succesvolle uitbuiting vereist dat een aanvaller specifieke machtigingen heeft op het DMSA -object, dat suggereert dat een verhoging van de voorrechten. Er is momenteel echter een patch in de maak.
Aangezien er geen onmiddellijke oplossing is voor de aanval, wordt organisaties geadviseerd om de mogelijkheid te beperken om DMSA’s te creëren en machtigingen waar mogelijk te verharden. Akamai heeft ook een PowerShell-script vrijgegeven dat alle niet-default-opdrachtgevers kan opsommen die DMSA’s kunnen maken en de organisatie-eenheden (OE’s) kunnen vermelden waarin elke directeur deze toestemming heeft.
“Deze kwetsbaarheid introduceert een voorheen onbekend en high-impact misbruikpad dat het mogelijk maakt voor elke gebruiker met CreateChild-machtigingen op een OU om elke gebruiker in het domein in gevaar te brengen en vergelijkbare kracht te krijgen als de replicerende mapveranderingen die wordt gebruikt om DCSYNC-aanvallen uit te voeren,” zei Gordon.
