ثغرة خطيرة في Windows Server 2025 تهدد Active Directory بالاختراق

كشف باحثون أمنيون عن ثغرة خطيرة في نظام Windows Server 2025 تسمح للمهاجمين بتصعيد الصلاحيات واختراق أي مستخدم في Active Directory (AD).

تفاصيل الثغرة وتأثيرها المدمر

أوضح الباحث الأمني “يوفال جوردون” من شركة Akamai في تقرير خاص لموقع The Hacker News: “يهاجم هذا الثغرة ميزة حسابات الخدمة المفوضة (dMSA) الجديدة في Windows Server 2025، وتعمل بالضبط مع الإعدادات الافتراضية دون الحاجة لتعديلات معقدة”.

وأضاف: “هذه المشكلة تؤثر على 91% من بيئات Active Directory التي فحصناها، حيث وجدنا مستخدمين خارج مجموعة مدراء النطاق (Domain Admins) يمتلكون الصلاحيات الكاملة لتنفيذ هذا الهجوم”.

كيف تعمل الثغرة؟

• تستغل الثغرة ميزة dMSA المصممة أصلاً للتحول من حسابات الخدمة القديمة إلى الجديدة

• تم تقديم هذه الميزة كحل وقائي ضد هجمات Kerberoasting

• أثناء عملية المصادقة، يتم نقل جميع صلاحيات الحساب القديم تلقائياً للحساب الجديد

آلية الهجوم المسماة “BadSuccessor”

أثناء مرحلة مصادقة Kerberos، يتم تضمين شهادة الخصائص (PAC) في تذكرة الدخول، والتي تحتوي على:

1. معرف أمان (SID) لحساب dMSA الجديد

2. معرفات الأمان للحساب القديم

3. جميع الصلاحيات والصلاحيات المرتبطة به

هذا يفتح الباب أمام تصعيد الصلاحيات حيث يمكن للمهاجم:

• محاكاة عملية الهجرة بين الحسابات

• اختراق أي مستخدم بما في ذلك مدراء النطاق

• الحصول على جميع صلاحيات الحساب الأصلي

• اختراق النطاق بالكامل حتى لو لم تكن المؤسسة تستخدم dMSA أساساً

رد فعل مايكروسوفت والإجراءات الوقائية

• تم إبلاغ مايكروسوفت بالثغرة في 1 أبريل 2025

• صنفت مايكروسوفت الثغرة على أنها متوسطة الخطورة

• لا يوجد إصلاح فوري متاح حتى الآن

• تعمل مايكروسوفت على إصدار تصحيح

توصيات أمنية عاجلة

1. تقييد صلاحيات إنشاء حسابات dMSA

2. تشديد سياسات الصلاحيات في بيئة Active Directory

3. استخدام نص PowerShell المقدم من Akamai لاكتشاف الحسابات المعرضة للخطر

وحذر جوردون: “هذه الثغرة تفتح مساراً جديداً للاختراق يمكن أي مستخدم لديه صلاحيات إنشاء حسابات من اختراق النطاق بالكامل، مع صلاحيات مشابهة لـ Replicating Directory Changes المستخدمة في هجمات DCSync”.