Критический дизайнерский изъян под названием Golden dMSA Attack обнаружен в функции Delegated Managed Service Accounts (dMSA) Windows Server 2025. Он позволяет злоумышленникам получить вечный доступ ко всем управляемым сервисным аккаунтам (dMSA/gMSA) и их ресурсам, обеспечивая латеральное перемещение между доменами и полный контроль над Active Directory.
В основе уязвимости — предсказуемая генерация паролей. Ключевой элемент — KDS root key (Key Distribution Service), «королевская драгоценность» инфраструктуры gMSA Microsoft. С его помощью можно вычислить действующие пароли любого dMSA/gMSA без обращения к контроллерам домена. Для атаки требуется доступ к KDS root key, который обычно есть только у привилегированных учётных записей: Domain Admins, Enterprise Admins или SYSTEM.
Атака выполняется в четыре этапа:
Последствия катастрофичны: компрометация одного KDS root key создаёт бэкдор на уровне всего леса, взламывая все dMSA во всех доменах. Злоумышленники обходят автоматическую смену паролей и защиту Credential Guard, которая не рассчитана на атаки через контроллеры домена. Как отмечает Ади Малянкер, исследователь Semperis:
> «Атака использует фундаментальный изъян... делая подбор паролей вычислительно тривиальным».
> «Исходный ключ KDS сохраняется годами — это создаёт персистентный бэкдор».
Особую опасность представляют роли Domain Admins, DnsAdmins и Print Operators: они могут блокировать механизмы защиты. Хотя dMSA внедрены в Windows Server 2025 для борьбы с Kerberoasting-атаками, их уязвимость сводит усилия на нет. Semperis уже опубликовал открытый PoC (Proof-of-Concept), демонстрирующий взлом. Даже при наличии нескольких KDS-ключей система использует старейший ключ, продлевая жизнь бэкдора на годы.
Изображение носит иллюстративный характер
В основе уязвимости — предсказуемая генерация паролей. Ключевой элемент — KDS root key (Key Distribution Service), «королевская драгоценность» инфраструктуры gMSA Microsoft. С его помощью можно вычислить действующие пароли любого dMSA/gMSA без обращения к контроллерам домена. Для атаки требуется доступ к KDS root key, который обычно есть только у привилегированных учётных записей: Domain Admins, Enterprise Admins или SYSTEM.
Атака выполняется в четыре этапа:
- Извлечение материала KDS root key через повышение прав до SYSTEM на контроллере домена.
- Перечисление dMSA-аккаунтов через API
LsaOpenPolicyиLsaLookupSidsлибо LDAP.
- Определение атрибутов:
ManagedPasswordIDи хешей паролей.
- Генерация рабочих паролей (билетов Kerberos) и проверка через Pass the Hash или Overpass the Hash.
Последствия катастрофичны: компрометация одного KDS root key создаёт бэкдор на уровне всего леса, взламывая все dMSA во всех доменах. Злоумышленники обходят автоматическую смену паролей и защиту Credential Guard, которая не рассчитана на атаки через контроллеры домена. Как отмечает Ади Малянкер, исследователь Semperis:
> «Атака использует фундаментальный изъян... делая подбор паролей вычислительно тривиальным».
> «Исходный ключ KDS сохраняется годами — это создаёт персистентный бэкдор».
Особую опасность представляют роли Domain Admins, DnsAdmins и Print Operators: они могут блокировать механизмы защиты. Хотя dMSA внедрены в Windows Server 2025 для борьбы с Kerberoasting-атаками, их уязвимость сводит усилия на нет. Semperis уже опубликовал открытый PoC (Proof-of-Concept), демонстрирующий взлом. Даже при наличии нескольких KDS-ключей система использует старейший ключ, продлевая жизнь бэкдора на годы.
