Microsoft'un tanımladığı tek yönlü güvenler, iki Windows alanı arasında tek yönlü bir kimlik doğrulama yolu oluşturarak, güvenilen alandaki kullanıcıların güvenen alandaki kaynaklara erişmesine olanak tanır, ancak tersi mümkün değildir. Bu kavram, genellikle güvenli bir sınır olarak kabul edilir ve bir alanın diğerine erişimini kısıtlar. Ancak, bu makale, bu geleneksel anlayışa meydan okuyarak, tek yönlü güvenlerin sanıldığı kadar tek yönlü olmadığını ortaya koyuyor.
Alanlar arasındaki güveni sürdürmek için, güven oluşturma sırasında güvenilen alanda otomatik olarak bir alan hesabı oluşturulur. Bu hesabın samaccounttype değeri TRUST_ACCOUNT olup, useraccountcontrol varsayılan olarak PASSWD_NOTREQD ve INTERDOMAIN_TRUST_ACCOUNT olarak ayarlanmıştır. Saldırganlar, güvenilen alanda Domain Admin ayrıcalıklarına sahip olduklarında bu hesabın sırlarını ele geçirebilirler. Bu durum, tek yönlü güvenin temel güvenlik varsayımlarını zayıflatmaktadır.
Makale, tdo_dump.py adlı yeni bir araçla, güvenen alandan bu güven hesabının çıkarılabileceğini ve güvenilen alanda kimlik doğrulaması yapmak için kullanılabileceğini gösteriyor. Bu keşif, güvenilen alan nesnelerinin Windows ortamlarında güvenlik sınırları arasında yanal hareket gerçekleştirmek için kullanışlı olabileceği anlamına geliyor. Böylece, tek yönlü olarak tasarlanan güven ilişkisi, aslında çift yönlü bir güvenlik riski taşıyarak, geleneksel güvenlik modellerini yeniden değerlendirmeyi gerektiriyor.
Windows ortamlarındaki tek yönlü güvenlerin, sanılanın aksine, saldırganlara yanal hareket imkanı sunan kritik bir güvenlik açığı barındırdığı ortaya konmuştur.