Windows Server 2025’teki Güvenlik Açığı: Privilege Escalation Tehdidi
Son dönemde Windows Server 2025‘te keşfedilen bir güvenlik açığı, siber saldırganların Active Directory (AD) içindeki herhangi bir kullanıcıyı tehlikeye atmasına olanak tanıyor. Bu durum, hem küçük hem de büyük işletmeler için büyük bir tehdit oluşturuyor. Akamai güvenlik araştırmacısı Yuval Gordon, bu güvenlik açığının detaylarını "The Hacker News" ile paylaştı.
dMSA Özelliğinin Sunduğu Riskler
Windows Server 2025 ile birlikte tanıtılan delegated Managed Service Account (dMSA) özelliği, eski hizmet hesaplarından geçişi kolaylaştıran yeni bir yöntem sunuyor. Ancak bu özellik, doğru kullanılmadığında ciddi zafiyetler doğurabilecek şekilde tasarlandı. Gordon’un açıklamalarına göre, bu güvenlik açığı, ISO ve güvenlik protokollerinin zayıf noktalarından yararlanarak gerçekleştiriliyor.
Gordon, "Bu sorun, çoğu AD’ye bağımlı olan kuruluşu etkileyecektir. İncelediğimiz ortamlarda, %91’inde, alan yöneticileri grubu dışında gerekli izinlere sahip kullanıcılar bulduk" diyerek, sorunun yaygınlığını ortaya koyuyor. Özellikle saldırganların dMSA fonksiyonunu kötüye kullanması, sistemlerin güvenliğini ciddi anlamda tehdit edebiliyor.
BadSuccessor’nın Anlamı ve Etkisi
Bu güvenlik açığına verilen kod adı BadSuccessor, dMSA üzerinden gerçekleştirilen yetki yükseltme senaryolarının ciddiyetini gözler önüne seriyor. Gordon, "dMSA, kullanıcıların bağımsız bir hesap oluşturmasına veya mevcut standart bir hizmet hesabını değiştirmesine olanak tanır" diyerek, bu durumun nasıl bir tehdit oluşturduğunu ifade ediyor. Bu özellik, bir hizmet hesabının üzerinde bulunan yetkilerin devredilmesine olanak tanıyor; bu da siber saldırganların privilige escalation (yetki yükseltme) gerçekleştirmesi için bir fırsat sunuyor.
Güvenlik Protokolleri ve Zafiyetler
Akamai tarafından yapılan incelemeler sonucunda, dMSA’nın Kerberos kimlik doğrulama aşamasında karşılaşılan bir sorun tespit edilmiştir. Security Identifier (SID) olarak bilinen değerlerin yanlış yönetilmesi, bir saldırganın herhangi bir kullanıcıyı, hatta alan yöneticisi gibi özel yetkilere sahip kişileri tehlikeye atmasına olanak tanıyor.
Bu açık, dMSA ile dönüşüm süreci taklit edilerek istismar edilebilir. Gordon, "Bu ‘simüle edilmiş geçiş’ tekniği, önceki hesap üzerinde herhangi bir izin gerektirmiyor" diyerek mevcut durumu özetliyor. Yalnızca dMSA’nın özellikleri üzerinde yazma iznine sahip olmak yeterli.
Önerilen Önlemler ve Gelecek Çalışmalar
Microsoft, bu güvenlik açığını 1 Nisan 2025’te Akamai’ya bildirim sonrasında orta seviye bir tehdit olarak sınıflandırdı. Ancak, bu açık için anında bir çözüm sunulmadı. Mevcut durum için önerilen önlemler arasında dMSA’ların oluşturulma yetkisinin sınırlanması ve yetkilendirmelerin güçlendirilmesi yer alıyor. Ayrıca, Akamai, PowerShell script‘i sayesinde tüm dMSA’ları oluşturma yetkisine sahip olan kullanıcıları listelemeye yönelik bir araç sağladı.
Sonuç
Windows Server 2025’teki bu kritik güvenlik açığı, kuruluşların sistem güvenliğini ciddi anlamda tehdit etmektedir. Saldırganlar, basit bir yazma izni ile geniş yetkilere sahip olabiliyor. Bu nedenle, şirketlerin yetkilendirme süreçlerini gözden geçirmesi ve siber güvenlik stratejilerini güncellemesi gerekmektedir. Unutulmamalıdır ki, güvenlik açıkları hızla yayılabilir ve önlem alınmadığı takdirde büyük kayıplara yol açabilir.
