Эксперты по информационной безопасности раскрыли так называемую «системную ошибку» в архитектуре новых делегированных учётных записей сервисов (dMSA) Windows Server 2025.
«Эта ошибка позволяет атакующим получить полный контроль над всеми сервисными аккаунтами и ресурсами во всех доменах Active Directory, а главное — сохранить доступ на неопределенно долгий срок», — отмечается в исследовании Semperis.
Проще говоря, используя дыру, злоумышленник может обходить штатные механизмы аутентификации, сам генерировать пароли для любых dMSA и gMSA — и связанных с ними сервисных учеток.
Этот сценарий закрепления и расширения доступа специалисты уже прозвали Golden dMSA. Самое опасное, что взломать пароли здесь невероятно просто.
Golden dMSA
Для того чтобы провернуть подобную атаку, злоумышленнику нужен корневой ключ Key Distribution Service (KDS), который обычно хранят только обладатели максимальных полномочий — например, администраторы домена, организации или системный аккаунт SYSTEM.
KDS root key — это своего рода «корона» Microsoft-инфраструктуры gMSA. Захватив его, нападающий может вычислять активный пароль любого dMSA или gMSA без доступа к контроллеру домена.
«Коварство уязвимости в том, что структура паролей строится на прогнозируемых временных данных — всего 1024 варианта. Перебрать их можно за считанные секунды», — объясняет эксперт Ади Малянкер.
Делегированные сервисные аккаунты (dMSA) — свежая разработка Microsoft, созданная для замены устаревших учеток и защиты от атак Kerberoasting. Впервые dMSA появились в Windows Server 2025.
Машинные аккаунты связывают процесс аутентификации только с теми устройствами Active Directory, которые указаны явно. Поэтому, теоретически, кража учетных данных невозможна: доступ есть только у упомянутых в AD машин.
Golden dMSA-атака, как и старые Golden gMSA-атаки в Active Directory, проходит по четырем шагам — если у злоумышленника уже есть повышенные права в домене:
- Извлечение KDS root key через повышение привилегий до SYSTEM на одном из контроллеров домена
- Поиск всех dMSA-аккаунтов с помощью API LsaOpenPolicy и LsaLookupSids или через LDAP-запросы
- Получение ManagedPasswordID и перебор хэшей для поиска нужного пароля
- Генерация действующих паролей (Kerberos-билетов) для любого gMSA или dMSA с помощью скомпрометированного ключа и использование Pass the Hash или Overpass the Hash
«Добравшись до KDS root key, других привилегий уже не потребуется. Поэтому этот способ взлома так опасен для корпоративных сетей», — добавляет Малянкер.
«Эта атака бьет по самому фундаменту доверия к сервисным аккаунтам: их защита зиждется на криптографических ключах доменных уровней. Обычно автоматическая смена паролей защищает системы, но роли вроде Domain Admin, DnsAdmin или Print Operator могут полностью обходить эти барьеры — и получить контроль над всеми dMSA и gMSA в пределах леса», — уточнил эксперт.
Исследователи отмечают: техника Golden dMSA превращает утечку любого одного KDS root key в глобальную дыру — получив только один ключ из любого домена леса, злоумышленник вскрывает dMSA-аккаунты сразу во всех доменах.
Проще говоря, один скомпрометированный KDS — и перед хакером открывается масса сервисных учеток, возможность воровать данные по всей инфраструктуре и без труда передвигаться между доменами с помощью взломанных dMSA.
«Даже если KDS root key несколько, для совместимости система всё равно использует самый первый, старый ключ», — поясняет Малянкер. — «Так что попавший к злоумышленнику ключ превращается в неустранимую "чёрную дверь" в вашей сети — и может использоваться годами».
Ещё тревожнее то, что эта атака полностью обходит защиту Credential Guard — ту самую, которая должна скрывать NTLM-хэши паролей, Kerberos TGT и другие секреты. Доступ к ним обычно есть лишь у системных процессов с привилегиями.
После публикации уязвимости 27 мая 2025 года Microsoft прокомментировала: «Получив ключевые секреты, можно представиться любым пользователем. Не было встроено механизмов противодействия захвату контроллера домена». Semperis опубликовала публичный прототип-демонстрацию для наглядности.
«Хакер сперва захватывает всего один контроллер — а выходит так, что получает полный контроль над всеми сервисами корпоративной сети, защищёнными dMSA», — резюмирует Малянкер. — «Это не просто очередное повышение прав, это настоящая технологическая катастрофа для компании — всё из-за одного криптографического недосмотра!»
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru