Los investigadores de seguridad cibernética han revelado lo que dicen que es un «defecto de diseño crítico» en las cuentas de servicio administrados (DMSA) introducidos en Windows Server 2025.
«El defecto puede dar lugar a ataques de alto impacto, permitiendo el movimiento lateral de dominio cruzado y el acceso persistente a todas las cuentas de servicio administrados y sus recursos en Active Directory indefinidamente», dijo Semperis en un informe compartido con Hacker News.
En cuanto a la explotación exitosa, la explotación exitosa podría permitir a los adversarios de evitar barandillas de autenticación y generar contraseñas para todas las cuentas de servicio administrados (DMSA) y las cuentas de servicio administradas del grupo (GMSA) y sus cuentas de servicio asociadas.
El método de escalada de persistencia y privilegio ha sido nombrado en código DMSA doradocon la compañía de ciberseguridad que lo considera como baja complejidad debido al hecho de que la vulnerabilidad simplifica la generación de contraseñas de fuerza bruta.
Sin embargo, para que los malos actores lo exploten, ya deben estar en posesión de una clave raíz del servicio de distribución clave (KDS) que generalmente solo está disponible para cuentas privilegiadas, como administradores de dominio raíz, administradores empresariales y sistema.
Descrito como la joya de la corona de la infraestructura GMSA de Microsoft, la clave Root KDS sirve como una clave maestra, lo que permite que un atacante obtenga la contraseña actual para cualquier cuenta DMSA o GMSA sin tener que conectarse al controlador de dominio (DC).
«El ataque aprovecha una falla de diseño crítico: una estructura que se usa para el cálculo de la generación de contraseñas contiene componentes predecibles basados en el tiempo con solo 1,024 combinaciones posibles, lo que hace que la generación de contraseñas de fuerza bruta sea computacionalmente trivial», dijo el investigador de seguridad Adi Malyanker.
Deleged Managed Service Cuentas es una nueva característica introducida por Microsoft que facilita la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una forma de contrarrestar los ataques de kerberoasting.
Las cuentas de la máquina vinculan la autenticación directamente a las máquinas autorizadas explícitamente en Active Directory (AD), eliminando así la posibilidad de robo de credenciales. Al vincular la autenticación a la identidad del dispositivo, solo las identidades de máquina especificadas asignadas en AD pueden acceder a la cuenta.
Golden DMSA, similar a los ataques de GMSA GMSA Active Directory, juega en cuatro pasos una vez que un atacante ha obtenido privilegios elevados dentro de un dominio –
- Extracción del material de clave raíz KDS elevando a los privilegios del sistema en uno de los controladores de dominio
- Enumerando cuentas de DMSA que utilizan API de LSAOPENPOLICY y LSALOOKUPSIDS o mediante un enfoque liviano basado en el protocolo de acceso de directorio (LDAP)
- Identificar el atributo ManagedPassWordID y los hash de contraseña a través de la adivinación específica
- Generación de contraseñas válidas (es decir, boletos de Kerberos) para cualquier GMSA o DMSA asociado con la clave comprometida y probarlas a través del hash o superar las técnicas hash
«Este proceso no requiere acceso privilegiado adicional una vez que se obtiene la clave Root KDS, por lo que es un método de persistencia particularmente peligroso», dijo Malyanker.
«El ataque destaca el límite de confianza crítico de las cuentas de servicio administrados. Se basan en claves criptográficas de nivel de dominio para la seguridad. Aunque la rotación automática de contraseñas proporciona una excelente protección contra los ataques de credenciales típicos, los administradores de dominios, las DNSADmins y los operadores impresos pueden evitar estas protecciones y comprometer todas las DMSA y GMSA en los bosques».
Semperis señaló que la técnica DMSA dorada convierte la brecha en una puerta trasera persistente en todo el bosque, dado que comprometer la llave de la raíz KDS de cualquier dominio único dentro del bosque es suficiente para violar cada cuenta de DMSA en todos los dominios de ese bosque.
En otras palabras, se puede armarse una extracción de clave raíz de KDS para lograr el compromiso de la cuenta de dominio cruzado, la recolección de credenciales en todo el bosque y el movimiento lateral a través de dominios utilizando las cuentas DMSA comprometidas.
«Incluso en entornos con múltiples claves de raíz KDS, el sistema usa constantemente la primera clave (más antigua) KDS Root para razones de compatibilidad», señaló Malyanker. «Esto significa que la clave original que hemos comprometido podría ser conservada por el diseño de Microsoft, creando una puerta trasera persistente que podría durar años».
Aún más preocupante es que el ataque deja completamente la protección de la guardia de credenciales normales, que se utilizan para asegurar los hash de contraseña NTLM, los boletos de tickets de Kerberos (TGTS) y las credenciales para que solo el software del sistema privilegiado pueda acceder a ellos.
Después de la divulgación responsable el 27 de mayo de 2025, Microsoft dijo: «Si tiene los secretos utilizados para derivar la clave, puede autenticarse como ese usuario. Estas características nunca han tenido la intención de proteger contra un compromiso de un controlador de dominio». Semperis también ha publicado una fuente abierta como prueba de concepto (POC) para demostrar el ataque.
«Lo que comienza como un compromiso de DC se intensifica para poseer cada servicio protegido por DMSA en todo un bosque empresarial», dijo Malyanker. «No es solo una escalada de privilegios. Es una dominación digital en toda la empresa a través de una sola vulnerabilidad criptográfica».