มีการแสดงให้เห็นถึงช่องโหว่การยกระดับสิทธิ์ใน Windows Server 2025 ที่ทำให้ผู้โจมตีสามารถเข้าควบคุมบัญชีของผู้ใช้ใด ๆ ก็ได้ใน Active Directory (AD)
Yuval Gordon นักวิจัยด้านความปลอดภัยของ Akamai ได้แชร์ข้อมูลกับ The Hacker News โดยระบุว่า "การโจมตีนี้อาศัยช่องโหว่จากคุณสมบัติ delegated Managed Service Account (dMSA) ที่ถูกนำมาใช้ใน Windows Server 2025 โดยการตั้งค่าเริ่มต้นก็สามารถถูกโจมตีได้ และวิธีการนั้นสามารถทำได้ง่ายมาก"
"ช่องโหว่นี้มีแนวโน้มที่จะส่งผลกระทบต่อองค์กรส่วนใหญ่ที่ใช้ AD ใน 91% ของสภาพแวดล้อมที่เราตรวจสอบ และเราพบว่ามีผู้ใช้งานที่อยู่นอกกลุ่ม domain admins แต่กลับมีสิทธิ์เพียงพอที่จะสามารถดำเนินการโจมตีได้"
สิ่งที่ทำให้เส้นทางการโจมตีนี้มีความน่าสนใจคือ การอาศัยคุณสมบัติใหม่ที่เรียกว่า Delegated Managed Service Accounts (dMSA) ที่อนุญาตให้ย้ายข้อมูลจาก service account เดิมมาใช้ได้ และคุณสมบัตินี้ถูกนำมาใช้ใน Windows Server 2025 เพื่อเป็นมาตรการลดความเสี่ยงจากการโจมตีแบบ Kerberoasting
บริษัทโครงสร้างพื้นฐานเว็บ และความปลอดภัย (Akamai) ระบุว่า "เทคนิคการโจมตีนี้ได้รับการตั้งชื่อรหัสว่า BadSuccessor"
Microsoft ได้ระบุว่า "dMSA อนุญาตให้ผู้ใช้สร้างบัญชีนี้ขึ้นมาแบบ standalone หรือใช้แทนที่บัญชีแบบ standard service ที่มีอยู่เดิมก็ได้ แต่เมื่อ dMSA เข้ามาแทนที่บัญชีเดิมแล้ว การยืนยันตัวตนไปยังบัญชีเดิมนั้นโดยใช้รหัสผ่านจะถูกบล็อก"
"Request จะถูกส่งต่อไปยัง Local Security Authority (LSA) เพื่อทำการยืนยันตัวตนโดยใช้ dMSA ซึ่งมีสิทธิ์เข้าถึงทุกอย่างที่บัญชีเดิมสามารถเข้าถึงได้ใน Active Directory (AD) ในระหว่างกระบวนการย้ายข้อมูลบัญชี dMSA จะเรียนรู้อุปกรณ์ที่เคยใช้ service accounts นั้นโดยอัตโนมัติ และจะนำข้อมูลนี้ไปใช้เพื่อแทนที่ service accounts เดิมทั้งหมด"
ปัญหาที่ Akamai ตรวจพบคือ ในระหว่างขั้นตอนการยืนยันตัวตนแบบ Kerberos ของ dMSA นั้น Privilege Attribute Certificate (PAC) ที่ฝังอยู่ภายใน ticket-granting ticket (TGT) ที่ออกโดย key distribution center (KDC) จะประกอบด้วย security identifier (SID) ของ dMSA, SID ของบัญชีบริการเดิมที่ถูกแทนที่ และ SID ของกลุ่มผู้ใช้ทั้งหมดที่เกี่ยวข้องกับบัญชีเดิมนั้น
การโอนย้ายสิทธิ์ระหว่างบัญชีนี้ อาจเป็นช่องโหว่ที่ทำให้เกิดการยกระดับสิทธิ์ (Privilege Escalation) ได้ โดยการจำลองกระบวนการย้ายข้อมูลบัญชีของ dMSA เพื่อเข้าควบคุมผู้ใช้รายใดก็ได้ รวมถึงผู้ดูแลระบบโดเมน และได้รับสิทธิ์ในระดับเดียวกัน ซึ่งหมายความว่าอาจถูกโจมตีระบบทั้งโดเมนได้ แม้ว่าองค์กรนั้นจะยังไม่ได้ใช้ dMSA บน Windows Server 2025 ก็ตาม
Gordon ระบุว่า "ข้อเท็จจริงที่น่าสนใจอย่างหนึ่งเกี่ยวกับเทคนิค 'simulated migration' นี้คือ ไม่จำเป็นต้องมีสิทธิ์ใด ๆ เหนือบัญชีที่ถูกแทนที่เลย และสิ่งเดียวที่จำเป็นก็คือ ต้องมีสิทธิ์ในการ write permissions เหนือ attributes ของ dMSA ใด ๆ ก็ได้"
"เมื่อเราระบุว่า dMSA มีผู้ใช้เดิมเป็นบัญชีต้นทาง ระบบ KDC จะถือว่ามีการย้ายข้อมูลบัญชีอย่างถูกต้องตามขั้นตอนโดยอัตโนมัติ และจะมอบสิทธิ์ทุกอย่างที่ผู้ใช้เดิมเคยมีให้กับ dMSA ของเรา ราวกับว่าเราเป็นผู้สืบทอดสิทธิ์ที่ถูกต้องของบัญชีเดิมนั้น"
Akamai ระบุว่า ได้รายงานช่องโหว่นี้ต่อ Microsoft เมื่อวันที่ 1 เมษายน 2025 หลังจากนั้น Microsoft ได้จัดระดับความรุนแรงของช่องโหว่นี้ว่าอยู่ในระดับ "ปานกลาง" และระบุว่า ยังไม่เข้าเกณฑ์สำหรับการออกแพตช์แก้ไขทันที เนื่องจากการที่จะโจมตีช่องโหว่นี้ให้สำเร็จได้นั้น จำเป็นต้องมีสิทธิ์เฉพาะบางอย่างบน dMSA object ซึ่งหมายถึงผู้โจมตีต้องยกระดับสิทธิ์มาก่อน อย่างไรก็ตาม ขณะนี้ Microsoft กำลังพัฒนาแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าวอยู่
เนื่องจากยังไม่มีการแก้ไขช่องโหว่นี้ในทันที องค์กรต่าง ๆ จึงควรจำกัดความสามารถในการสร้าง dMSA และเพิ่มความเข้มงวดในการกำหนดสิทธิ์ให้มากที่สุดเท่าที่จะทำได้ Akamai ยังได้เผยแพร่สคริปต์ PowerShell ที่สามารถแสดงรายชื่อ principal ที่ไม่ใช่ค่า default ซึ่งสามารถสร้าง dMSA ได้ รวมถึงระบุว่าในแต่ละ Organizational Unit (OU) ใดบ้างที่ผู้ใช้นั้นมีสิทธิ์ดังกล่าว
Gordon ระบุเพิ่มเติมว่า "ช่องโหว่นี้เปิดเส้นทางการโจมตีใหม่ที่ไม่เคยมีการเปิดเผยมาก่อน และส่งผลกระทบที่รุนแรง ซึ่งทำให้ผู้ใช้คนใดก็ตามที่มีสิทธิ์ CreateChild บน OU ใด ๆ จะสามารถเข้าควบคุมบัญชีผู้ใช้ใดก็ได้ในโดเมน และได้รับสิทธิ์ในระดับเดียวกันกับสิทธิ์ ‘Replicating Directory Changes’ ที่ใช้ในการโจมตีแบบ DCSync ได้"
ที่มา : thehackernews
You must be logged in to post a comment.