BadSuccessor: Windows Server 2025’dagi yangi zaiflik butun Active Directory’ni egallashga imkon bermoqda

Windows Server 2025’da kutilmagan xavfsizlik muammosi aniqlandi: BadSuccessor deb nomlangan yangi hujum usuli orqali xakerlar Active Directory’dagi istalgan foydalanuvchi — hattoki administrator bo‘lsa ham — huquqlarini qo‘lga kiritishi mumkin.

Ushbu zaiflik delegated Managed Service Account (dMSA) deb nomlanuvchi yangi funksiyada mavjud. Bu tizim aslida xizmat hisoblarini avtomatik boshqarish uchun mo‘ljallangan, biroq noto‘g‘ri sozlangan taqdirda, xakerlar undan butun domenni egallab olish vositasi sifatida foydalanishi mumkin.

BadSuccessor hujumi juda oddiy mexanizmga asoslangan:

  • Xaker dMSA obyektini yaratadi.
  • So‘ngra bu obyektga tegishli bo‘lgan maxsus atribut — msDS-ManagedAccountPrecededByLink ni o‘zgartirib, uni Domain Admin kabi yuqori huquqdagi foydalanuvchiga bog‘laydi.
  • Windows tizimi bu dMSA’ni «voris» (merosxo‘r) sifatida tan oladi va unga bog‘langan foydalanuvchining barcha huquqlarini beradi.

Ya’ni, faqat ikki atribut o‘zgartirish orqali yangi, oddiy obyekt to‘g‘ridan-to‘g‘ri kuchli huquqlarga ega bo‘lib qoladi. Bu bilan xaker Active Directory ichida istalgan foydalanuvchi sifatida tizimga kirishi va ularga tegishli barcha imkoniyatlardan foydalanishi mumkin.

Bu hujumni amalga oshirish uchun administrator bo‘lish shart emas. Tadqiqotlarga ko‘ra, Windows Server 2025 ishlatilayotgan tizimlarning 91 foizida oddiy foydalanuvchilarda bu hujum uchun yetarli ruxsatlar mavjud.

Shuningdek, BadSuccessor hujumi nafaqat foydalanuvchi huquqlarini egallash, balki shifrlash kalitlarini qo‘lga kiritish va shu asosda foydalanuvchi sifatida autentifikatsiyalanish imkonini ham beradi. Bu esa butun domen xavfsizligini jiddiy tahdid ostida qoldiradi.

Microsoft bu muammoni tan oldi, ammo uni “o‘rtacha xavf” deb baholadi. Ularning fikricha, bu hujumni amalga oshirish uchun foydalanuvchida allaqachon ko‘tarilgan ruxsatlar bo‘lishi kerak va shu sababli tezkor yamoq chiqarilmaydi.

Ammo Akamai tadqiqotchilari bunga qarshi chiqmoqda: ular oddiy foydalanuvchilar ham ushbu hujumni amalga oshira olishini, bu esa uni DCSync kabi xavfli texnikalarga tenglashtirish mumkinligini ta’kidlamoqda.

Patch (xavfsizlik yangilanishi) hali chiqmaganligi sababli, tashkilotlarga quyidagi choralarni ko‘rish tavsiya etiladi:

  1. dMSA yaratish faoliyatini kuzatib boring — Event ID: 5137
  2. msDS-ManagedAccountPrecededByLink atributidagi o‘zgarishlarni monitoring qiling — Event ID: 5136
  3. dMSA orqali autentifikatsiya urinishlarini aniqlang — Event ID: 2946
  4. Kimlarda dMSA yaratish ruxsati borligini aniqlang va kerakli cheklovlarni qo‘llang

Akamai bu holatni aniqlash uchun PowerShell skript ham chiqargan bo‘lib, uning yordamida xavfli huquqlarga ega foydalanuvchilarni topish mumkin.

BadSuccessor — bu zamonaviy Windows Server imkoniyatlaridan noto‘g‘ri foydalanish natijasida paydo bo‘lgan xavfli zaiflikdir. U orqali xakerlar Active Directory’dagi istalgan foydalanuvchini egallab olishi va butun tarmoqni boshqarishi mumkin.

Tashkilotlar imkon qadar tezroq monitoringni kuchaytirishlari, ruxsatlarni tekshirishlari va Microsoftdan rasmiy yamoq chiqishini kutmasdan himoya choralarini qo‘llashlari lozim.