Los investigadores de seguridad cibernética han revelado lo que dicen que es un «defecto de diseño crítico» en las cuentas de servicio administrados (DMSA) introducidos en Windows Server 2025.
«El defecto puede dar puesto a ataques de detención impacto, permitiendo el movimiento fronterizo de dominio cruzado y el llegada persistente a todas las cuentas de servicio administrados y sus posibles en Active Directory indefinidamente», dijo Semperis en un noticia compartido con Hacker News.
En cuanto a la explotación exitosa, la explotación exitosa podría permitir a los adversarios de evitar barandillas de autenticación y ocasionar contraseñas para todas las cuentas de servicio administrados (DMSA) y las cuentas de servicio administradas del especie (GMSA) y sus cuentas de servicio asociadas.
El método de subida de persistencia y privilegio ha sido renombrado en código DMSA doradocon la compañía de ciberseguridad que lo considera como pérdida complejidad conveniente al hecho de que la vulnerabilidad simplifica la gestación de contraseñas de fuerza bruta.
Sin confiscación, para que los malos actores lo exploten, ya deben estar en posesión de una esencia raíz del servicio de distribución esencia (KDS) que generalmente solo está adecuado para cuentas privilegiadas, como administradores de dominio raíz, administradores empresariales y sistema.
Descrito como la alhaja de la corona de la infraestructura GMSA de Microsoft, la esencia Root KDS sirve como una esencia maestra, lo que permite que un atacante obtenga la contraseña coetáneo para cualquier cuenta DMSA o GMSA sin tener que conectarse al regulador de dominio.
«El ataque aprovecha una falta de diseño crítico: una estructura que se usa para el cálculo de la gestación de contraseñas contiene componentes predecibles basados en el tiempo con solo 1,024 combinaciones posibles, lo que hace que la gestación de contraseñas de fuerza bruta sea computacionalmente trivial», dijo el investigador de seguridad Adi Malyanker.
Deleged Managed Service Cuentas es una nueva característica introducida por Microsoft que facilita la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una forma de contrarrestar los ataques de kerberoasting.
Las cuentas de la máquina vinculan la autenticación directamente a las máquinas autorizadas explícitamente en Active Directory (AD), eliminando así la posibilidad de robo de credenciales. Al vincular la autenticación a la identidad del dispositivo, solo las identidades de máquina especificadas asignadas en AD pueden ingresar a la cuenta.
Golden DMSA, similar a los ataques de GMSA GMSA Active Directory, juega en cuatro pasos una vez que un atacante ha obtenido privilegios elevados interiormente de un dominio –
- Cuna del material de esencia raíz KDS elevando a los privilegios del sistema en uno de los controladores de dominio
- Enumerando cuentas de DMSA que utilizan API de LSAOPENPOLICY y LSALOOKUPSIDS o mediante un enfoque desvergonzado basado en el protocolo de llegada de directorio (LDAP)
- Identificar el atributo ManagedPassWordID y los hash de contraseña a través de la augurio específica
- Gestación de contraseñas válidas (es asegurar, boletos de Kerberos) para cualquier GMSA o DMSA asociado con la esencia comprometida y probarlas a través del hash o exceder las técnicas hash
«Este proceso no requiere llegada privilegiado adicional una vez que se obtiene la esencia Root KDS, por lo que es un método de persistencia particularmente peligroso», dijo Malyanker.
«El ataque destaca el coto de confianza crítico de las cuentas de servicio administrados. Se basan en claves criptográficas de nivel de dominio para la seguridad. Aunque la rotación cibernética de contraseñas proporciona una excelente protección contra los ataques de credenciales típicos, los administradores de dominios, las DNSADmins y los operadores impresos pueden evitar estas protecciones y comprometer todas las DMSA y GMSA en los bosques».
Semperis señaló que la técnica DMSA dorada convierte la brecha en una puerta trasera persistente en todo el bosque, transmitido que comprometer la llavín de la raíz KDS de cualquier dominio único interiormente del bosque es suficiente para violar cada cuenta de DMSA en todos los dominios de ese bosque.
En otras palabras, se puede armarse una procedencia de esencia raíz de KDS para ganar el compromiso de la cuenta de dominio cruzado, la monasterio de credenciales en todo el bosque y el movimiento fronterizo a través de dominios utilizando las cuentas DMSA comprometidas.
«Incluso en entornos con múltiples claves de raíz KDS, el sistema usa constantemente la primera esencia (más antigua) KDS Root para razones de compatibilidad», señaló Malyanker. «Esto significa que la esencia llamativo que hemos comprometido podría ser conservada por el diseño de Microsoft, creando una puerta trasera persistente que podría durar abriles».
Aún más preocupante es que el ataque deja completamente la protección de la número de credenciales normales, que se utilizan para afirmar los hash de contraseña NTLM, los boletos de tickets de Kerberos (TGTS) y las credenciales para que solo el software del sistema privilegiado pueda ingresar a ellos.
A posteriori de la divulgación responsable el 27 de mayo de 2025, Microsoft dijo: «Si tiene los secretos utilizados para derivar la esencia, puede autenticarse como ese afortunado. Estas características nunca han tenido la intención de proteger contra un compromiso de un regulador de dominio». Semperis asimismo ha publicado una fuente abierta como prueba de concepto (POC) para demostrar el ataque.
«Lo que comienza como un compromiso de DC se intensifica para poseer cada servicio protegido por DMSA en todo un bosque empresarial», dijo Malyanker. «No es solo una subida de privilegios. Es una dominación digital en toda la empresa a través de una sola vulnerabilidad criptográfica».
