آسیب‌پذیری خطرناک در Windows Server 2025؛ سناریوی تصرف کامل AD توسط BadSuccessor

پژوهشگران شرکت Akamai نقص امنیتی مهمی را در Windows Server 2025 شناسایی کردند که به مهاجمان امکان می‌دهد با سوءاستفاده از قابلیت delegated Managed Service Accounts (dMSA)، کنترل کامل حساب‌های کاربری در Active Directory (AD) را به‌دست آورند.

این آسیب‌پذیری، که توسط Yuval Gordon کشف شد، تهدیدی جدی برای سازمان‌های وابسته به Active Directory ایجاد می‌کند. این نقص با دسترسی اولیه محدود، به مهاجمان اجازه می‌دهد هر حساب کاربری، از جمله حساب‌های با امتیاز بالا، را در AD یک سازمان تحت کنترل درآورند.

جزئیات حمله BadSuccessor به Windows Server 2025

بر اساس پژوهش Akamai، این آسیب‌پذیری از ویژگی جدید dMSA در Windows Server 2025 ناشی می‌شود. این ویژگی برای ساده‌سازی مدیریت حساب‌های خدماتی طراحی شده و به dMSA جدید امکان می‌دهد مجوزهای حساب قدیمی‌تر را به ارث ببرد. با این حال، مهاجمان می‌توانند با دستکاری دو ویژگی زیر در یک شیء dMSA، این فرآیند را جعل کنند:

• msDS-ManagedAccountPrecededByLink: ارجاع به حساب کاربری هدف.
• msDS-DelegatedMSAState: تنظیم روی مقدار ۲، که نشان‌دهنده تکمیل فرآیند مهاجرت است.

این اقدام، که BadSuccessor نامیده شده، سیستم را فریب می‌دهد تا باور کند تغییری قانونی(به اصطلاح “مهاجرت قانونی”) انجام شده است. در نتیجه، dMSA مهاجم تمام مجوزهای حساب هدف، از جمله حساب‌های سطح بالای مانند Domain Admins، را کسب می‌کند. نکته قابل توجه این است که این حمله نیازی به دسترسی مستقیم به حساب هدف ندارد و تنها کنترل یا ایجاد یک dMSA کافی است.

تأثیر گسترده

بررسی‌های Akamai نشان داد که در ۹۱ درصد محیط‌های آزمایش‌شده، کاربران خارج از گروه Domain Admins مجوزهای لازم برای اجرای این حمله را داشتند. این امر پتانسیل بالای نقص برای نفوذ گسترده در سازمان‌های وابسته به Active Directory را نشان می‌دهد.

مایکروسافت در تاریخ ۱ آوریل ۲۰۲۵ این نقص را تأیید کرد؛ اما تاکنون هیچ پچی منتشر نکرده است. این شرکت شدت آسیب‌پذیری را «متوسط» ارزیابی کرد، زیرا اکسپلویت نیازمند دسترسی اولیه به شیء dMSA است. با این حال، پژوهشگران Akamai با این ارزیابی مخالف‌اند و هشدار دادند که توانایی ایجاد dMSA، که اغلب به کاربران عادی اعطا می‌شود، می‌تواند به تصرف کامل دامنه منجر شود. آن‌ها این حمله را با حملات مهمی مانند DCSync، که از مجوز Replicating Directory Changes بهره می‌برد، مقایسه کردند و آن را مسیری ناشناخته و پرتأثیر برای سوءاستفاده دانستند.

توصیه‌های امنیتی

با توجه به نبود پچ فوری، Akamai توصیه کرد سازمان‌ها اقدامات پیشگیرانه زیر را انجام دهند:

• نظارت بر ایجاد اشیاء dMSA جدید
• بررسی تغییرات در ویژگی msDS-ManagedAccountPrecededByLink
• ردیابی رویدادهای احراز هویت dMSA
• بازبینی مجوزهای تعریف‌شده برای واحدهای سازمانی (OU)

با گسترش استفاده از Windows Server 2025، سازمان‌ها باید درک دقیقی از خطرات مرتبط با ویژگی‌های جدید آن داشته باشند و تدابیر امنیتی مناسب را به‌کار گیرند.

منابع: