Los investigadores de seguridad cibernética han revelado lo que dicen que es un “defecto de diseño crítico” en las cuentas de servicio administrados (DMSA) introducidos en Windows Server 2025.
“El defecto puede dar área a ataques de detención impacto, permitiendo el movimiento adjunto de dominio cruzado y el comunicación persistente a todas las cuentas de servicio administrados y sus bienes en Active Directory indefinidamente”, dijo Semperis en un noticia compartido con Hacker News.
En cuanto a la explotación exitosa, la explotación exitosa podría permitir a los adversarios de evitar barandillas de autenticación y suscitar contraseñas para todas las cuentas de servicio administrados (DMSA) y las cuentas de servicio administradas del congregación (GMSA) y sus cuentas de servicio asociadas.
El método de ascensión de persistencia y privilegio ha sido renombrado en código DMSA doradocon la compañía de ciberseguridad que lo considera como devaluación complejidad oportuno al hecho de que la vulnerabilidad simplifica la concepción de contraseñas de fuerza bruta.
Sin confiscación, para que los malos actores lo exploten, ya deben estar en posesión de una secreto raíz del servicio de distribución secreto (KDS) que generalmente solo está adecuado para cuentas privilegiadas, como administradores de dominio raíz, administradores empresariales y sistema.
Descrito como la maravilla de la corona de la infraestructura GMSA de Microsoft, la secreto Root KDS sirve como una secreto maestra, lo que permite que un atacante obtenga la contraseña contemporáneo para cualquier cuenta DMSA o GMSA sin tener que conectarse al compensador de dominio (DC).
“El ataque aprovecha una error de diseño crítico: una estructura que se usa para el cálculo de la concepción de contraseñas contiene componentes predecibles basados en el tiempo con solo 1,024 combinaciones posibles, lo que hace que la concepción de contraseñas de fuerza bruta sea computacionalmente trivial”, dijo el investigador de seguridad Adi Malyanker.
Deleged Managed Service Cuentas es una nueva característica introducida por Microsoft que facilita la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una forma de contrarrestar los ataques de kerberoasting.
Las cuentas de la máquina vinculan la autenticación directamente a las máquinas autorizadas explícitamente en Active Directory (AD), eliminando así la posibilidad de robo de credenciales. Al vincular la autenticación a la identidad del dispositivo, solo las identidades de máquina especificadas asignadas en AD pueden lograr a la cuenta.
Golden DMSA, similar a los ataques de GMSA GMSA Active Directory, juega en cuatro pasos una vez que un atacante ha obtenido privilegios elevados internamente de un dominio –
- Cuna del material de secreto raíz KDS elevando a los privilegios del sistema en uno de los controladores de dominio
- Enumerando cuentas de DMSA que utilizan API de LSAOPENPOLICY y LSALOOKUPSIDS o mediante un enfoque lujurioso basado en el protocolo de comunicación de directorio (LDAP)
- Identificar el atributo ManagedPassWordID y los hash de contraseña a través de la oráculo específica
- Engendramiento de contraseñas válidas (es asegurar, boletos de Kerberos) para cualquier GMSA o DMSA asociado con la secreto comprometida y probarlas a través del hash o pasar las técnicas hash
“Este proceso no requiere comunicación privilegiado adicional una vez que se obtiene la secreto Root KDS, por lo que es un método de persistencia particularmente peligroso”, dijo Malyanker.
“El ataque destaca el término de confianza crítico de las cuentas de servicio administrados. Se basan en claves criptográficas de nivel de dominio para la seguridad. Aunque la rotación cibernética de contraseñas proporciona una excelente protección contra los ataques de credenciales típicos, los administradores de dominios, las DNSADmins y los operadores impresos pueden evitar estas protecciones y comprometer todas las DMSA y GMSA en los bosques”.
Semperis señaló que la técnica DMSA dorada convierte la brecha en una puerta trasera persistente en todo el bosque, transmitido que comprometer la llavín de la raíz KDS de cualquier dominio único internamente del bosque es suficiente para violar cada cuenta de DMSA en todos los dominios de ese bosque.
En otras palabras, se puede armarse una cuna de secreto raíz de KDS para conquistar el compromiso de la cuenta de dominio cruzado, la convento de credenciales en todo el bosque y el movimiento adjunto a través de dominios utilizando las cuentas DMSA comprometidas.
“Incluso en entornos con múltiples claves de raíz KDS, el sistema usa constantemente la primera secreto (más antigua) KDS Root para razones de compatibilidad”, señaló Malyanker. “Esto significa que la secreto llamativo que hemos comprometido podría ser conservada por el diseño de Microsoft, creando una puerta trasera persistente que podría durar primaveras”.
Aún más preocupante es que el ataque deja completamente la protección de la guarnición de credenciales normales, que se utilizan para apuntalar los hash de contraseña NTLM, los boletos de tickets de Kerberos (TGTS) y las credenciales para que solo el software del sistema privilegiado pueda lograr a ellos.
A posteriori de la divulgación responsable el 27 de mayo de 2025, Microsoft dijo: “Si tiene los secretos utilizados para derivar la secreto, puede autenticarse como ese heredero. Estas características nunca han tenido la intención de proteger contra un compromiso de un compensador de dominio”. Semperis igualmente ha publicado una fuente abierta como prueba de concepto (POC) para demostrar el ataque.
“Lo que comienza como un compromiso de DC se intensifica para poseer cada servicio protegido por DMSA en todo un bosque empresarial”, dijo Malyanker. “No es solo una ascensión de privilegios. Es una dominación digital en toda la empresa a través de una sola vulnerabilidad criptográfica”.
