Microsoft’un Windows Server 2025 ile birlikte kullanıma sunduğu Delegeli Yönetilen Hizmet Hesapları (dMSA) özelliği, Active Directory altyapısında önemli bir güvenlik açığına yol açtı. Uzmanlar, bu açığın kötü niyetli kişiler tarafından kolayca istismar edilip sistem üzerinde tam yetki elde edilebileceği konusunda uyarıyor.
BadSuccessor Saldırısı ile Yönetici Yetkisi Alınabiliyor
dMSA, klasik hizmet hesaplarının yerine geçmesi ve önceki hakları devralması için tasarlanmıştı. Ancak geçiş sürecindeki mimari zafiyetler, saldırganlara kapı aralıyor. Akamai’den güvenlik araştırmacısı Yuval Gordon’un “BadSuccessor” başlıklı analizine göre, Windows Server 2025’te dMSA özelliği varsayılan ayarlarla kullanıldığında, düşük yetkili bir kullanıcı dahi alan yöneticisi haklarına erişebiliyor.
Bu saldırı senaryosunu denemek için GitHub’da paylaşılan SharpSuccessor adlı .NET tabanlı bir araç da mevcut. Araç sayesinde, yalnızca belirli bir organizational unit’te (OU) CreateChild yetkisi bulunan bir kullanıcı bile, Active Directory üzerinde tam kontrol sağlayabiliyor.
Uzmanlardan Microsoft’a Eleştiri
Güvenlik uzmanı Florian Roth, Microsoft’un bu kritik açığı “orta seviye” olarak değerlendirmesini ve yamanın ileri bir tarihte yayımlanacağını açıklamasını sert şekilde eleştirdi. Roth’a göre, bu durum Microsoft’un hata yönetimi yaklaşımında veya yerel Active Directory’ye verdiği önemde ciddi sıkıntılar olduğunu gösteriyor. Ayrıca, şirketin bulut tabanlı çözümleri (ör. Entra ID) öne çıkarmak istemesi de bu ilgisizliğin nedeni olabilir.
Açık henüz yaygınlaşmamış bir sürümde tespit edilmiş olsa da, güvenlik araştırmacılarının erken uyarıları tartışmalara yol açtı. Yine de bu tür zafiyetler, sistem yöneticilerine yeni özellikleri yayına almadan önce mutlaka ayrıntılı testler yapmaları gerektiğini hatırlatıyor.
Yöneticilere Uyarı: dMSA Ayarlarını Gözden Geçirin
Microsoft’un ilerleyen dönemlerde yayımlayacağı güncellemeyle bu zafiyeti gidermesi bekleniyor. Ancak bu süreçte, özellikle dMSA yapılandırmalarının dikkatlice gözden geçirilmesi büyük önem taşıyor. SharpSuccessor gibi araçların varlığı, tehdidin ne kadar gerçek ve uygulanabilir olduğunu net şekilde gösteriyor.