 16 de junio de 2025Rravie Lakshmanananwindows Investigadores de seguridad cibernética del servidor / Seguridad empresarial han revelado lo que dicen que es un «defecto de diseño crítico» en las cuentas de servicio administrados delegados (DMSA) introducidos en el servidor de Windows 2025 «. La falla puede dar lugar a los recursos de servicio directivo de alta impulso, y sus recursos de servicio administrados a través de los recursos de servicio administrativo y sus recursos gestionados de alta impulso y sus recursos administrados y sus recursos gestionados de alta impulso de los recursos administrados y sus recursos administrados y sus recursos administrados y sus recursos gestionados de alta impulso y sus recursos administrados y sus recursos administrados y sus recursos gestionados de alta impulso indefinidamente «, dijo Semperis en un informe compartido con Hacker News. En cuanto a la explotación exitosa, la explotación exitosa podría permitir a los adversarios de evitar barandillas de autenticación y generar contraseñas para todas las cuentas de servicio administrados (DMSA) y las cuentas de servicio administradas del grupo (GMSA) y sus cuentas de servicio asociadas. El método de escalada de persistencia y privilegio ha sido nombrado DMSA Golden Golden, con la compañía de seguridad cibernética que lo considera como baja complejidad debido al hecho de que la vulnerabilidad simplifica la generación de contraseñas de fuerza bruta. Sin embargo, para que los malos actores lo exploten, ya deben estar en posesión de una clave raíz del servicio de distribución clave (KDS) que generalmente solo está disponible para cuentas privilegiadas, como administradores de dominio raíz, administradores empresariales y sistema. Descrito como la joya de la corona de la infraestructura GMSA de Microsoft, la clave Root KDS sirve como una clave maestra, lo que permite que un atacante obtenga la contraseña actual para cualquier cuenta DMSA o GMSA sin tener que conectarse al controlador de dominio. «El ataque aprovecha una falla de diseño crítico: una estructura que se usa para el cálculo de la generación de contraseñas contiene componentes predecibles basados en el tiempo con solo 1,024 combinaciones posibles, lo que hace que la generación de contraseñas de fuerza bruta sea computacionalmente trivial», dijo el investigador de seguridad Adi Malyanker. Deleged Managed Service Cuentas es una nueva característica introducida por Microsoft que facilita la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una forma de contrarrestar los ataques de kerberoasting. Las cuentas de la máquina vinculan la autenticación directamente a las máquinas autorizadas explícitamente en Active Directory (AD), eliminando así la posibilidad de robo de credenciales. Al vincular la autenticación a la identidad del dispositivo, solo las identidades de máquina especificadas asignadas en AD pueden acceder a la cuenta. Golden DMSA, similar a los ataques Golden GMSA Active Directory, se desarrolla en cuatro pasos una vez que un atacante ha obtenido privilegios elevados dentro de un dominio: extrayendo material de clave raíz KDS al elevar a los privilegios del sistema en uno de los controladores de dominio enumerando cuentas DMSA utilizando LSAOPENPOLICY y APEITS DE LSALOOKPSIDS o a través de un accesorio de acceso director de peso liviano (ldap). ManagedPassWordID Atribute y contraseña a través de la generación de contraseñas válidas (es decir, boletos de Kerberos) para cualquier GMSA o DMSA asociado con la clave comprometida y probarlas a través de pasar el hash o superar las técnicas de «este proceso no requiere acceso privilegiado adicional una vez que se obtiene la clave de KDS de KDS, lo que lo convierte en un método de persistencia particularmente peligroso». «El ataque destaca el límite de confianza crítico de las cuentas de servicio administrados. Se basan en claves criptográficas de nivel de dominio para la seguridad. Aunque la rotación automática de contraseñas proporciona una excelente protección contra los ataques de credenciales típicos, los administradores de dominios, las DNSADmins y los operadores impresos pueden evitar estas protecciones y comprometer todas las DMSA y GMSA en los bosques». Semperis señaló que la técnica DMSA dorada convierte la brecha en una puerta trasera persistente en todo el bosque, dado que comprometer la llave de la raíz KDS de cualquier dominio único dentro del bosque es suficiente para violar cada cuenta de DMSA en todos los dominios de ese bosque. En otras palabras, se puede armarse una extracción de clave raíz de KDS para lograr el compromiso de la cuenta de dominio cruzado, la recolección de credenciales en todo el bosque y el movimiento lateral a través de dominios utilizando las cuentas DMSA comprometidas. «Incluso en entornos con múltiples claves de raíz KDS, el sistema usa constantemente la primera clave (más antigua) KDS Root para razones de compatibilidad», señaló Malyanker. «Esto significa que la clave original que hemos comprometido podría ser conservada por el diseño de Microsoft, creando una puerta trasera persistente que podría durar años». Aún más preocupante es que el ataque deja completamente la protección de la guardia de credenciales normales, que se utilizan para asegurar los hash de contraseña NTLM, los boletos de tickets de Kerberos (TGTS) y las credenciales para que solo el software del sistema privilegiado pueda acceder a ellos. Después de la divulgación responsable el 27 de mayo de 2025, Microsoft dijo: «Si tiene los secretos utilizados para derivar la clave, puede autenticarse como ese usuario. Estas características nunca han tenido la intención de proteger contra un compromiso de un controlador de dominio». Semperis también ha publicado una fuente abierta como prueba de concepto (POC) para demostrar el ataque. «Lo que comienza como un compromiso de DC se intensifica para poseer cada servicio protegido por DMSA en todo un bosque empresarial», dijo Malyanker. «No es solo una escalada de privilegios. Es una dominación digital en toda la empresa a través de una sola vulnerabilidad criptográfica». ¿Encontró este artículo interesante? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.