Pesquisadores de cibersegurança revelaram o que chamam de "falha crítica de design" em Delegated Managed Service Accounts (dMSAs) introduzidas no Windows Server 2025.
"A falha pode resultar em ataques de alto impacto, possibilitando movimento lateral entre domínios e acesso persistente a todas as contas de serviço gerenciado e seus recursos no Active Directory por tempo indeterminado", disse a Semperis em um relatório compartilhado com o site The Hacker News.
Em outras palavras, a exploração bem-sucedida poderia permitir que adversários contornassem as barreiras de autenticação e gerassem senhas para todos os Delegated Managed Service Accounts (dMSAs) e Group Managed Service Accounts (gMSAs) e suas contas de serviço associadas.
O método de persistência e escalonamento de privilégio foi apelidado de Golden dMSA, com a empresa de cibersegurança considerando-o de baixa complexidade devido ao fato de a vulnerabilidade simplificar a geração de senhas por força bruta.
No entanto, para que os atacantes explorem isso, eles devem já estar na posse de uma chave raiz do Key Distribution Service (KDS) que normalmente está disponível apenas para contas privilegiadas, como root Domain Admins, Enterprise Admins e SYSTEM.
Descrito como a joia da coroa da infraestrutura gMSA da Microsoft, a chave raiz do KDS serve como uma chave mestra, permitindo que um atacante derive a senha atual para qualquer conta dMSA ou gMSA sem ter que se conectar ao controlador de domínio.
"O ataque tira proveito de uma falha crítica de design: Uma estrutura usada para o cálculo de geração de senha contém componentes baseados em tempo previsíveis com apenas 1.024 combinações possíveis, tornando a geração de senha por força bruta computacionalmente trivial", disse o pesquisador de segurança Adi Malyanker.
Delegated Managed Service Accounts é um novo recurso introduzido pela Microsoft que facilita a migração de uma conta de serviço legado existente.
Foi introduzido no Windows Server 2025 como uma forma de contra-atacar ataques de Kerberoasting.
As contas de máquina vinculam a autenticação diretamente a máquinas explicitamente autorizadas no Active Directory (AD), eliminando assim a possibilidade de roubo de credenciais.
Ao vincular a autenticação à identidade do dispositivo, apenas identidades de máquina especificadas mapeadas no AD podem acessar a conta.
Golden dMSA, semelhante aos ataques gMSA do Active Directory, ocorre em quatro etapas uma vez que um atacante tenha obtido privilégios elevados dentro de um domínio:
- Extração do material da chave raiz do KDS elevando-se a privilégios de SYSTEM em um dos controladores de domínio;
- Enumeração de contas dMSA usando as APIs LsaOpenPolicy e LsaLookupSids ou via uma abordagem baseada em Protocolo de Acesso a Diretórios Leve (LDAP);
- Identificação do atributo ManagedPasswordID e hashes de senha através de adivinhação direcionada;
- Geração de senhas válidas (ou seja, tickets Kerberos) para qualquer gMSA ou dMSA associado à chave comprometida e teste delas via técnicas de Pass the Hash ou Overpass the Hash
"Este processo não requer acesso privilegiado adicional uma vez que a chave raiz do KDS é obtida, tornando-o um método de persistência particularmente perigoso", disse Malyanker.
O ataque destaca o limite crítico de confiança das contas de serviço gerenciado.
Elas dependem de chaves criptográficas de nível de domínio para segurança.
Embora a rotação automática de senhas ofereça excelente proteção contra ataques de credenciais típicos, os Admins de Domínio, DnsAdmins e Operadores de Impressão podem contornar essas proteções inteiramente e comprometer todos os dMSAs e gMSAs na floresta.
A Semperis observou que a técnica Golden dMSA transforma a violação em uma backdoor persistente em toda a floresta, dado que comprometer a chave raiz do KDS de qualquer domínio único dentro da floresta é suficiente para violar todas as contas dMSA em todos os domínios dessa floresta.
Em outras palavras, uma única extração da chave raiz do KDS pode ser armada para alcançar o comprometimento de contas entre domínios, colheita de credenciais em toda a floresta e movimento lateral entre domínios usando as contas dMSA comprometidas.
"Mesmo em ambientes com múltiplas chaves raiz do KDS, o sistema usa consistentemente a primeira (mais antiga) chave raiz do KDS por razões de compatibilidade", apontou Malyanker.
Isso significa que a chave original que comprometemos poderia ser preservada pelo design da Microsoft – criando uma backdoor persistente que poderia durar anos.
Ainda mais preocupante é que o ataque contorna completamente as proteções normais do Credential Guard, que são usadas para proteger hashes de senha NTLM, Kerberos Ticket Granting Tickets (TGTs) e credenciais para que apenas softwares de sistema privilegiados possam acessá-las.
Após a divulgação responsável em 27 de maio de 2025, a Microsoft disse: "Se você possui os segredos usados para derivar a chave, você pode autenticar como aquele usuário. Esses recursos nunca foram destinados a proteger contra um comprometimento de um controlador de domínio."
A Semperis também lançou uma prova de conceito (PoC) de código aberto para demonstrar o ataque.
"O que começa como um comprometimento de um DC escala para possuir todo serviço protegido por dMSA em uma floresta empresarial inteira", disse Malyanker.
"Não é apenas escalonamento de privilégio. É dominação digital em toda a empresa através de uma única vulnerabilidade criptográfica."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...