Критическая уязвимость в Windows Server 2025: угроза для Active Directory
В Windows Server 2025 обнаружена серьёзная уязвимость, связанная с повышением привилегий через функцию делегированной управляемой учетной записи службы (dMSA). Эта уязвимость позволяет злоумышленникам использовать стандартную конфигурацию dMSA для компрометации любых пользователей в Active Directory (AD), что создаёт значительную угрозу безопасности для большинства организаций, использующих данную инфраструктуру.
Суть уязвимости и масштабы проблемы
Функция dMSA, которая основана на предыдущих типах управляемых учетных записей службы, упрощает управление учетными записями служб и облегчает миграцию с неуправляемых учетных записей. Ключевым элементом в процессе преобразования в dMSA является атрибут msDS-DelegatedMSAState, контролирующий статус переноса учётных записей.
Исследователи обнаружили, что злоумышленник может манипулировать данным атрибутом и связанными с ним, в частности msDS-ManagedAccountPrecededByLink, для имитации процесса миграции учетной записи. Это позволяет атакующему получить разрешения, эквивалентные тем, которые имела ранее существовавшая учетная запись, не обладая исходными правами.
Как происходит атака
- Злоумышленник получает контроль над существующей dMSA или создает новую с помощью командлета New-ADServiceAccount;
- Вносит незначительные изменения в атрибуты dMSA, обманывая Центр распространения ключей (KDC), заставляя его признать миграцию легитимной;
- В результате атакующий получает права, равные полномочиям исходной учетной записи, что обеспечивает полный доступ к ресурсам;
- Создаются заявки на обслуживание (service tickets) с использованием украденных разрешений, что позволяет обходить традиционные методы обнаружения повышения привилегий.
Опасность для организаций и текущий статус
Исследование показывает, что в 91% проверенных сред существуют пользователи, не входящие в группу администраторов домена, но обладающие необходимыми разрешениями для проведения данной атаки. Это означает, что уязвимость затрагивает огромное большинство организаций, использующих Active Directory.
На данный момент официального исправления от Microsoft нет. В корпорации знают о проблеме и планируют её устранение, однако организациям настоятельно рекомендуется предпринимать альтернативные меры по снижению рисков.
Рекомендации и меры безопасности
- Внимательно мониторить изменения атрибута msDS-ManagedAccountPrecededByLink, поскольку несогласованные изменения могут свидетельствовать о попытках эксплуатации уязвимости;
- Ограничить возможность управления dMSA для минимального круга доверенных пользователей;
- Проводить регулярный аудит разрешений в Active Directory, особенно тех, которые позволяют изменение атрибутов учетных записей служб;
- Использовать средства обнаружения аномалий, способные выявлять подозрительную активность, связанную с управляемыми учетными записями;
- Следить за обновлениями от Microsoft и своевременно внедрять исправления, как только они станут доступны.
Выводы
Новая уязвимость в Windows Server 2025 демонстрирует, насколько повышенные возможности и расширенные функции управления учетными записями могут непреднамеренно привести к серьёзным уязвимостям. Это подчёркивает необходимость осторожного подхода к настройке разрешений в Active Directory и постоянного мониторинга критических атрибутов.
Как отмечают эксперты, «кажущиеся безобидными разрешения могут стать входными воротами для атак с повышением привилегий, если они используются неправильно или не контролируются должным образом».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость повышения привилегий в Windows Server 2025".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.