Критическая уязвимость повышения привилегий в Windows Server 2025

Критическая уязвимость в Windows Server 2025: угроза для Active Directory

В Windows Server 2025 обнаружена серьёзная уязвимость, связанная с повышением привилегий через функцию делегированной управляемой учетной записи службы (dMSA). Эта уязвимость позволяет злоумышленникам использовать стандартную конфигурацию dMSA для компрометации любых пользователей в Active Directory (AD), что создаёт значительную угрозу безопасности для большинства организаций, использующих данную инфраструктуру.

Суть уязвимости и масштабы проблемы

Функция dMSA, которая основана на предыдущих типах управляемых учетных записей службы, упрощает управление учетными записями служб и облегчает миграцию с неуправляемых учетных записей. Ключевым элементом в процессе преобразования в dMSA является атрибут msDS-DelegatedMSAState, контролирующий статус переноса учётных записей.

Исследователи обнаружили, что злоумышленник может манипулировать данным атрибутом и связанными с ним, в частности msDS-ManagedAccountPrecededByLink, для имитации процесса миграции учетной записи. Это позволяет атакующему получить разрешения, эквивалентные тем, которые имела ранее существовавшая учетная запись, не обладая исходными правами.

Как происходит атака

• Злоумышленник получает контроль над существующей dMSA или создает новую с помощью командлета New-ADServiceAccount;
• Вносит незначительные изменения в атрибуты dMSA, обманывая Центр распространения ключей (KDC), заставляя его признать миграцию легитимной;
• В результате атакующий получает права, равные полномочиям исходной учетной записи, что обеспечивает полный доступ к ресурсам;
• Создаются заявки на обслуживание (service tickets) с использованием украденных разрешений, что позволяет обходить традиционные методы обнаружения повышения привилегий.

Опасность для организаций и текущий статус

Исследование показывает, что в 91% проверенных сред существуют пользователи, не входящие в группу администраторов домена, но обладающие необходимыми разрешениями для проведения данной атаки. Это означает, что уязвимость затрагивает огромное большинство организаций, использующих Active Directory.

На данный момент официального исправления от Microsoft нет. В корпорации знают о проблеме и планируют её устранение, однако организациям настоятельно рекомендуется предпринимать альтернативные меры по снижению рисков.

Рекомендации и меры безопасности

• Внимательно мониторить изменения атрибута msDS-ManagedAccountPrecededByLink, поскольку несогласованные изменения могут свидетельствовать о попытках эксплуатации уязвимости;
• Ограничить возможность управления dMSA для минимального круга доверенных пользователей;
• Проводить регулярный аудит разрешений в Active Directory, особенно тех, которые позволяют изменение атрибутов учетных записей служб;
• Использовать средства обнаружения аномалий, способные выявлять подозрительную активность, связанную с управляемыми учетными записями;
• Следить за обновлениями от Microsoft и своевременно внедрять исправления, как только они станут доступны.

Выводы

Новая уязвимость в Windows Server 2025 демонстрирует, насколько повышенные возможности и расширенные функции управления учетными записями могут непреднамеренно привести к серьёзным уязвимостям. Это подчёркивает необходимость осторожного подхода к настройке разрешений в Active Directory и постоянного мониторинга критических атрибутов.

Как отмечают эксперты, «кажущиеся безобидными разрешения могут стать входными воротами для атак с повышением привилегий, если они используются неправильно или не контролируются должным образом».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.