17/07/25
Об этом сообщила компания Semperis, занимающаяся защитой корпоративных экосистем, в своём техническом отчёте, передаёт Securitylab.
Проблема кроется в архитектуре функции Delegated Managed Service Accounts (dMSA), предназначенной для безопасной замены устаревших сервисных учётных записей. Microsoft внедрила dMSA как способ противодействия атакам Kerberoasting, при которых злоумышленники получают хэши паролей сервисов через Kerberos-билеты. Нововведение позволяет привязывать сервисную учётную запись строго к конкретному устройству в домене, исключая возможность её кражи или использования с других машин.
Однако выяснилось, что в конструкции, отвечающей за генерацию паролей для этих учётных записей, используется структура с предсказуемыми компонентами. Время инициализации учитывается с точностью до секунды, а общее количество возможных комбинаций ограничено 1024. Это делает атаку методом перебора крайне простой — при наличии исходного криптографического материала.
Ключевая уязвимость связана с так называемым KDS root key — корневым ключом службы Key Distribution Service, который используется во всей экосистеме управляемых сервисных аккаунтов (gMSA и dMSA). Этот ключ выступает в роли мастер-ключа для всех операций генерации паролей. Если злоумышленнику удаётся получить этот ключ с одного контроллера домена, он может вычислить актуальные пароли для всех dMSA и gMSA аккаунтов без подключения к контроллеру домена. Таким образом, атака превращается в сквозную точку входа в любую часть инфраструктуры.
Команда Semperis подчёркивает, что эксплойт может использоваться для постоянного доступа ко всем сервисам в домене и за его пределами — во всём лесу Active Directory. Даже если в инфраструктуре существует несколько корневых ключей, система по умолчанию использует первый (самый старый), чтобы обеспечить обратную совместимость. Это решение Microsoft, по мнению авторов отчёта, фактически закрепляет уязвимость на годы вперёд.
Чтобы реализовать атаку, достаточно один раз получить системный доступ на одном контроллере домена. Далее злоумышленник может извлечь KDS root key, с помощью стандартных инструментов определить список доступных dMSA-аккаунтов, выяснить нужные идентификаторы и перебрать пароли. Получив Kerberos-билеты, он сможет использовать их для подмены личности и несанкционированного доступа ко всем ресурсам, связанным с этими сервисными записями. В процессе не требуется дополнительных прав — только единовременный доступ к ключу.
Особую тревогу вызывает тот факт, что методика полностью обходит механизмы Credential Guard, обеспечивающие защиту от кражи NTLM-хэшей и Kerberos-билетов. По сути, атака позволяет обойти все уровни защиты, предусмотренные Microsoft для защиты учётных записей в домене.
Представители Microsoft, получившие уведомление 27 мая 2025 года, признали, что при компрометации корневого ключа возможно полное восстановление доступа ко всем учётным данным. В компании уточнили, что архитектура никогда не предполагала защиту от полного захвата контроллера домена.
Semperis выпустила открытый инструмент для демонстрации атаки Golden dMSA. По словам авторов, даже единичная успешная атака может привести к установлению долговременного контроля над всеми сервисами в корпоративной сети, поскольку полученный доступ фактически не имеет срока действия.
