นักวิจัยด้านความปลอดภัยจากบริษัท Akamai ออกมาเปิดเผยถึงช่องโหว่ด้านการยกระดับสิทธิ (Privilege Escalation) ที่ยังไม่ได้รับการแก้ไขในระบบปฏิบัติการ Windows Server 2025 ซึ่งอาจถูกใช้โดยผู้ไม่หวังดีเพื่อเข้าควบคุมบัญชีผู้ใช้ใดๆ ในระบบ Active Directory (AD) ได้อย่างสมบูรณ์ — รวมถึงบัญชีระดับสูงสุดอย่าง Domain Admins
ช่องโหว่นี้เกี่ยวข้องกับฟีเจอร์ใหม่ที่ชื่อว่า Delegated Managed Service Account (dMSA) ซึ่งถูกออกแบบมาเพื่อช่วยให้องค์กรสามารถเปลี่ยนจากการใช้บัญชีบริการแบบเดิมที่ไม่ปลอดภัย ไปเป็นบัญชีแบบใหม่ที่มีการมอบหมายสิทธิเฉพาะทางและควบคุมได้มากขึ้น
Akamai เรียกเทคนิคการโจมตีนี้ว่า “BadSuccessor” โดยอาศัยการตั้งค่า dMSA ให้ “รับช่วง” สิทธิจากบัญชีบริการเดิมผ่านแอตทริบิวต์เพียงตัวเดียวคือ msDS-ManagedAccountPrecededByLink ซึ่งถูกใช้โดยระบบ Key Distribution Center (KDC) เพื่อระบุความเชื่อมโยงระหว่างบัญชีเดิมและบัญชีใหม่
ที่น่ากังวลคือ ผู้โจมตีไม่จำเป็นต้องมีสิทธิพิเศษใดๆ ก็สามารถใช้ช่องโหว่นี้ได้ เพราะการสร้าง dMSA ใหม่นั้นสามารถทำได้โดยผู้ใช้ทั่วไปที่มีสิทธิ “Create all child objects” หรือ “Create msDS-DelegatedManagedServiceAccount” บน Organizational Unit ใดก็ตามในโดเมน
Akamai เตือนว่า การโจมตีลักษณะนี้ สามารถดำเนินการได้อย่างง่ายดายภายใต้การตั้งค่าเริ่มต้นของ Windows Server 2025 และแนะนำให้ผู้ดูแลระบบเร่งประเมินสิทธิของผู้ใช้ภายในองค์กร พร้อมจับตาการสร้าง dMSA ที่ไม่ชอบมาพากลอย่างใกล้ชิด – จนถึงขณะนี้ Microsoft ยังไม่ได้ออกแพตช์แก้ไขช่องโหว่นี้อย่างเป็นทางการ
รายละเอียด – HNS
