Semperis 在一份报告中表示:“该漏洞可能造成高影响攻击,实现跨域横向移动以及无限期地持续访问 Active Directory 上的所有托管服务帐户及其资源。”
换句话说,成功利用该漏洞可以让对手绕过身份验证,并为所有委托托管服务帐户 ( dMSA ) 和组托管服务帐户 ( gMSA ) 及其相关服务帐户生成密码。
该持久性和权限提升方法的代号为Golden dMSA,网络安全公司认为该方法复杂度较低,因为该漏洞简化了暴力密码生成。
攻击者利用该漏洞,必须已经拥有密钥分发服务(KDS)根密钥,该密钥通常仅适用于特权帐户,例如根域管理员、企业管理员和系统。
KDS 根密钥被描述为微软 gMSA 基础设施的皇冠上的明珠,它充当主密钥,允许攻击者获取任何 dMSA 或 gMSA 帐户的当前密码,而无需连接到域控制器 (DC)。
安全研究员 Adi Malyanker表示:“此次攻击利用了一个关键的设计缺陷:用于密码生成计算的结构包含可预测的基于时间的组件,只有 1,024 种可能的组合,这使得暴力破解密码的计算变得非常简单。”
委派托管服务帐户是Microsoft推出的一项新功能,可帮助用户从现有的旧版服务帐户进行迁移。该功能在 Windows Server 2025 中引入,旨在抵御 Kerberoasting 攻击。
机器帐户将身份验证直接绑定到 Active Directory (AD) 中明确授权的机器,从而消除了凭据被盗的可能性。通过将身份验证与设备身份绑定,只有在 AD 中映射的指定机器身份才能访问该帐户。
Golden dMSA 与Golden gMSA Active Directory攻击类似,一旦攻击者在域内获得提升的权限,就会分四个步骤进行接下来的攻击:
- 通过在其中一个域控制器上提升到 SYSTEM 权限来提取 KDS 根密钥材料
- 使用LsaOpenPolicy和LsaLookupSids API 或通过基于轻量级目录访问协议 ( LDAP ) 的方法枚举 dMSA 帐户
- 通过有针对性的猜测来识别ManagedPasswordID属性和密码哈希值
- 为与泄露密钥相关的任何 gMSA 或 dMSA 生成有效密码(即 Kerberos 票证),并通过传递哈希或超越哈希技术对其进行测试
Malyanker 表示:“一旦获得 KDS 根密钥,此过程就不需要额外的特权访问,这是一种特别危险的持久性方法。”
此次攻击凸显了托管服务帐户的关键信任边界。它们依赖域级加密密钥来确保安全。尽管自动密码轮换机制能够有效防御典型的凭据攻击,但域管理员、DNS管理员和打印操作员可以完全绕过这些保护措施,并攻陷域森林中的所有dMSA和gMSA。
Semperis 指出,Golden dMSA 技术将漏洞变成了域森林范围的持久后门,因为从森林中的任何单个域泄露 KDS 根密钥就足以泄露该森林中所有域的每个 dMSA 帐户。
换句话说,单个 KDS 根密钥提取可以被武器化,以使用受损的 dMSA 帐户实现跨域帐户泄露、林范围的凭证收集和跨域横向移动。
Malyanker 指出:“即使在具有多个 KDS 根密钥的环境中,出于兼容性原因,系统也会始终使用第一个(最旧的)KDS 根密钥。这意味着我们窃取的原始密钥可能会被微软的设计所保留,从而创建一个可能持续数年的持久后门。”
更令人担忧的是,此次攻击完全绕过了正常的Credential Guard保护措施,这些保护措施用于保护 NTLM 密码哈希、Kerberos 票证授予票证 (TGT) 和凭证,以便只有特权系统软件才能访问它们。
微软于2025年5月27日发布负责任的披露后表示:“如果您拥有用于派生密钥的机密信息,则可以以该用户的身份进行身份验证。这些功能从未旨在防止域控制器被入侵。” Semperis 还发布了一个开源概念验证 (PoC) 来演示此次攻击。
“最初只是一次数据中心入侵,后来逐渐升级到掌控整个企业林中所有受 dMSA 保护的服务。”Malyanker 说道。“这不仅仅是权限提升,而是通过一个加密漏洞,就能掌控整个企业的数字控制。”
详细漏洞分析:
https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass/