Bezbjednosni tim kompanije Akamai pokrenuo je novu raspravu u svijetu otkrivanja ranjivosti objavljujući potpune detalje eksploatacije za „BadSuccessor“, neispravljenu ranjivost eskalacije privilegija u Windows Server 2025 koja omogućava napadačima da kompromituju bilo kog korisnika u Active Directory-ju.
Prema riječima istraživača iz Akamaija, Juvala Gordona, Microsoftov bezbjednosni tim za odgovore potvrdio je validnost greške, ali ju je odbacio kao problem „umjerene“ ozbiljnosti koji će biti zakrpljen „u budućnosti“.
„Dok cijenimo odgovor Microsofta, s poštovanjem se ne slažemo sa njihovom procjenom ozbiljnosti,“ rekao je Gordon u blog objavi koja uključuje proof-of-concept kod koji pretvara nepoznatu funkciju migracije servisnih naloga u ozbiljan bezbjednosni rizik.
Gordon navodi da se ranjivost nalazi u delegiranim Managed Service Accounts (dMSA), potpuno novoj klasi naloga uvedenoj sa Serverom 2025. dMSA su zamišljeni kao zamjena za zastarjele servisne naloge, ali Gordon je otkrio da oni nasljeđuju sve privilegije koje je imao originalni nalog.
On je priložio tehničku dokumentaciju kojom pokazuje korake koje neprivilegovani korisnik može da preduzme kako bi kreirao novi dMSA koji se tretira kao legitimni nasljednik.
„Ovo je sve što je kontroleru domena potrebno da nas tretira kao legitimnog nasljednika. Sjetite se: nema promjene članstva u grupama, nema dodira sa Domain Admins grupom, i nema sumnjivih LDAP upisa u stvarni privilegovani nalog,“ rekao je Gordon.
„Uz samo dvije izmjene atributa, skromni novi objekat se kruniše za nasljednika — i KDC nikad ne preispituje krvnu liniju; ako veza postoji, privilegije se dodjeljuju. Nismo promijenili nijedno članstvo u grupi, nismo unaprijedili nijedan postojeći nalog, i nismo izazvali nijedno tradicionalno upozorenje za eskalaciju privilegija,“ objasnio je on.
Akamai je proučio telemetriju svojih korisnika i otkrio da u 91% okruženja bar jedan korisnik bez administratorskih privilegija već posjeduje problematična Create-Child prava u organizacionoj jedinici.
Gordon navodi da su ta prava dovoljna da se pokrene dMSA, ali Microsoft je smanjio ozbiljnost jer bi napadač morao imati „specifične dozvole koje ukazuju na povišen pristup“. Budući da kontroleri domena Windows Servera 2025 po difoltu omogućavaju dMSA podršku, Gordon kaže da organizacije automatski preuzimaju rizik čim dodaju 2025 DC u postojeći Active Directory šum.
On kaže da je upravo taj podrazumijevani pristup bio razlog što se Akamai odlučio na objavljivanje nakon što su 1. aprila obavijestili softverskog giganta i saznali da zakrpa neće biti odmah dostupna.
„[Oni] su procijenili da je riječ o ranjivosti umjerene ozbiljnosti i naveli da trenutno ne ispunjava kriterijume za hitnu intervenciju,“ rekao je Gordon.
Upozorio je da ranjivost otvara do tada nepoznat i ozbiljan vektor zloupotrebe koji omogućava bilo kom korisniku sa CreateChild dozvolama u okviru OU da kompromituje bilo kog korisnika u domenu „i dobije moć sličnu privilegiji Replicating Directory Changes koja se koristi za izvođenje DCSync napada.“
„Pored toga, nismo naišli ni na jedan pokazatelj da trenutne industrijske prakse ili alati označavaju CreateChild pristup — ili, tačnije, CreateChild za dMSA — kao kritičan problem. Smatramo da to dodatno naglašava i prikrivenost i ozbiljnost problema,“ dodaje Gordon.
Odluka da se detalji otkriju prije objavljivanja zakrpe ponovo je rasplamsala staru debatu o odgovornom otkrivanju ranjivosti. Na društvenim mrežama, neki istraživači su kritikovali Akamai zbog objavljivanja kompletnog opisa napada prije nego što je zakrpa dostupna. S druge strane, starija hakerska zajednica tvrdi da Microsoft ima istoriju lošeg procjenjivanja i odbijanja da popravi ozbiljne bezbjednosne probleme.
U nedostatku zvanične zakrpe, Akamai je objavio upite za detekciju, smjernice za logovanje i skriptu za pronalaženje entiteta koji mogu kreirati dMSA.
Izvor: SecurityWeek
