یک آسیبپذیری در زمینه ارتقای سطح دسترسی در Windows Server 2025 شناسایی شده است که به نفوذگران اجازه میدهد تا هر کاربری را در Active Directory (AD) به خطر بیندازند.
به گفته پژوهشگر امنیتی شرکت Akamai، حمله با اکسپلویت از قابلیت جدیدی به نام Delegated Managed Service Account (dMSA) که در Windows Server 2025 معرفی شد ، انجام میشود و با پیکربندی پیشفرض کار میکند و پیادهسازی آن بسیار ساده است. نقص امنیتی در مرحله احراز هویت Kerberos رخ میدهد، زمانی که PAC درون تیکت احراز هویت که از key distribution center (KDC) صادر میشود، نه تنها شامل SID مربوط به dMSA، بلکه شامل dMSAs security identifier (SID) حساب قدیمی جایگزین و تمام گروههای وابسته به آن نیز هست.
این مشکل احتمالاً بیشتر سازمانهایی را که به AD متکی هستند، تحت تأثیر قرار میدهد. در ۹۱٪ از محیطها کاربرانی خارج از گروه مدیران دامنه هستند که مجوزهای لازم برای انجام این حمله را داشتند. آنچه مسیر حمله را قابل توجه میکند از استفاده از قابلیت جدید dMSA است که امکان مهاجرت از یک سرویس اکانت قدیمی موجود را فراهم میکند. این ویژگی در ویندوز سرور ۲۰۲۵ به عنوان راهکاری برای کاهش حملات Kerberoasting معرفی شد. این تکنیک حمله با نام مستعار BadSuccessor نامگذاری شده است.
https://thehackernews.com/2025/05/critical-windows-server-2025-dmsa.html
