Kritik Tasarım Açığı: Delegated Managed Service Accounts
Windows Server 2025‘te tanıtılan Delegated Managed Service Accounts (dMSAs), bir kritik tasarım açığı barındırmaktadır. Bu açık, siber güvenlik araştırmacıları tarafından, tüm yönetilen hizmet hesaplarına ve bunların kaynaklarına sürekli erişim sağlayabilecek yüksek etki yaratan saldırılara yol açabilecek bir sorun olarak tanımlanmıştır. Semperis tarafından yapılan bir raporda, bu durumun Active Directory içinde çapraz alan yan hareketi (cross-domain lateral movement) olanağı sunduğu vurgulanmıştır.
Açığın Etkileri
Başarılı bir şekilde kötüye kullanılacak olursa, bu açık, saldırganların kimlik doğrulama korumalarını aşarak bütün dMSA ve grup gMSA hesapları için şifreler oluşturmasına olanak tanıyabilir. Bu durum, kötü niyetli aktörlerin, belirtilen yetki artışına ulaşması da dâhil olmak üzere, hesapları uzun süre yönetmesine imkân tanır. Golden dMSA olarak adlandırılan bu durum, düşük karmaşıklıkta olduğu ifade edilmiştir. Bunun nedeni, açıkların, brute-force şifre üretimini kolaylaştırmasıdır.
KDS Root Anahtarı ve Tasarım Açığı
Ancak, kötü niyetli aktörlerin bu açığı kötüye kullanabilmesi için Key Distribution Service (KDS) root anahtarına erişim sahibi olmaları gerekmektedir. Bu anahtar genellikle yalnızca Root Domain Admins, Enterprise Admins ve SYSTEM gibi ayrıcalıklı hesaplar tarafından erişilebilir. KDS root anahtarı, Microsoft’un gMSA altyapısının “taç mücevheri” olarak tanımlanmakta olup, saldırganlara her dMSA veya gMSA hesabı için geçerli şifreleri türetme imkânı tanır.
Saldırı Yöntemi ve Aşamaları
Golden dMSA saldırısı, bir saldırganın bir alandaki yükseltilmiş ayrıcalıklara ulaşmasının ardından, aşağıdaki adımlarla işlemlerini sürdürür:
- KDS Root Anahtar Malzemesinin Çıkarılması: Bir etki alanı denetleyicisinde SYSTEM ayrıcalıklarına yükselerek KDS root anahtarını ele geçirir.
- dMSA Hesaplarının Sıralanması: dMSA hesaplarını LsaOpenPolicy ve LsaLookupSids API’ları veya Lightweight Directory Access Protocol (LDAP) tabanlı bir yöntemle listeleme.
- ManagedPasswordID Özelliğinin Tanımlanması: Hedefe yönelik tahminlerle şifre karmaşalarını belirler.
- Geçerli Şifrelerin Üretilmesi: Ele geçirilen anahtar ile ilişkili her gMSA veya dMSA için geçerli şifreler (örneğin, Kerberos biletleri) üreterek Pass the Hash veya Overpass the Hash teknikleri ile test etme.
Tehditlerin Ciddiyeti
Bu süreç, KDS root anahtarı elde edildikten sonra herhangi bir ek ayrıcalıklı erişim gerektirmediği için son derece tehlikeli bir devamlılık metodu olarak değerlendirilmektedir. Semperis, Golden dMSA tekniğinin bir ihlali, bir orman çapında süreklilik sağlayan bir arka kapıya dönüştürdüğünü belirtmiştir. Bu durum, ormanın içindeki herhangi bir single KDS root anahtarının ele geçirilmesi durumunda, tüm dMSA hesaplarının ihlaline olanak tanımaktadır.
KDS Root Anahtarının Önemi
Bir KDS root anahtarının çıkarılması, çapraz alan hesaplarının ihlali, orman çapında kimlik bilgisi toplama ve ele geçirilen dMSA hesapları üzerinden yan hareket sağlamaktadır. Microsoft’un tasarımı gereği orijinal anahtarın korunabilmesi, uzun yıllar boyunca sürebilecek bir arka kapı oluşturabilir.
Güvenlik Önlemleri ve Açıkların Kapatılması
Bu saldırı, normal Credential Guard korumalarını tamamen atlamaktadır. NTLM şifre karmaşalarını ve Kerberos Ticket Granting Tickets (TGTs) gibi kimlik bilgilerini korumak için kullanılan bu mekanizmaların yalnızca ayrıcalıklı sistem yazılımlarının erişimine açık olduğu göz önünde bulundurulduğunda, durumun ciddiyeti bir kat daha artmaktadır.
Microsoft, 27 Mayıs 2025’te sorumlu bir şekilde bu durumu bildirmiştir. Şirket, “Anahtarın türediği sırların hepsine sahipseniz, kullanıcının kimliğiyle doğrulama yapabilirsiniz” ifadesini kullanmıştır. Semperis ise bu açığı göstermek amacıyla bir açık kaynaklı kanıt konsepti (PoC) sunmuştur.
Sonuç
Bu tür saldırılar, bir etki alanı denetleyicisi ihlalinin, tüm organizasyon genelinde dMSA ile korunmuş hizmetlerin kontrol altına alınması ile sonuçlanabileceğini göstermektedir. Bu noktada, endüstri genelindeki güvenlik uygulamalarının ve önlemlerin güçlendirilmesi büyük önem taşımaktadır. Kritik tasarım açıklarının zamanında tespit edilmesi ve kapatılması, siber güvenlik açısından hayati öneme sahiptir.
