С выходом Windows Server 2025 специалисты по кибербезопасности выявили серьезную конструктивную уязвимость в системе делегированных управляемых сервисных учетных записей (dMSA). Эта проблема получила широкое обсуждение в экспертном сообществе как Golden dMSA — атака, сопряженная с возможностью перелёта между доменами и долговременного сохранения контроля над сервисными аккаунтами в инфраструктуре Active Directory (AD). Уязвимость представляет собой архитектурный дефект, имеющий серьезные последствия для безопасности корпоративных лесов и обладает значительным потенциалом для злоумышленников с уже полученными привилегиями администратора. По сути, эксплуатирование Golden dMSA позволяет обходить механизмы аутентификации и получать пароли ко всем делегированным и групповым управляемым сервисным учетным записям без необходимости повторного подключения к доменному контроллеру. Центральную роль в атаке играет корневой ключ службы распределения ключей (KDS root key), который действует как мастер-ключ для генерации текущих паролей dMSA и gMSA.
Обычно доступ к этому ключу имеют только владельцы наивысших привилегий — администраторы домена или системы. Однако однажды будучи скомпрометированным, данный ключ открывает злоумышленникам возможность полного контроля над сервисными учетными записями, что влечет за собой возможность широкомасштабного распространения атаки по лесу AD. Принцип работы уязвимости базируется на использовании предсказуемых временных компонентов в структуре, отвечающей за вычисление паролей, количество которых ограничено 1024 вариантами. Это существенно снижает сложность генерации паролей путем перебора, делая атаку осуществимой даже при ограниченных ресурсах. По словам исследователей, упрощённая по своей природе, Golden dMSA превращает взлом одного доменного контроллера в контроль над всеми сервисными учетными записями леса Active Directory.
Им сопутствуют методы Pass the Hash и Overpass the Hash, позволяющие использовать сгенерированные пароли для дальнейшего перемещения по инфраструктуре без потери доступа. Делегированные управляемые сервисные учетные записи появились как средство борьбы с типичной уязвимостью Kerberoasting, внедренное для снижения рисков компрометации учетных данных. Новая модель привязывает аутентификацию к конкретным машинам, отображенным в AD, что в теории должно ограничить использование учетной записи только разрешёнными устройствами и свести к минимуму кражу учетных данных. Однако техническая реализация в Windows Server 2025 продемонстрировала критический дизайн-флоу, из-за которого скомпрометированным администратором становится возможно получить доступ ко всем подчинённым учетным записям даже без непосредственного подключения к доменным контроллерам. При этом уязвимость обходит защиту Credential Guard, направленную на защиту ключевых учетных данных и предотвращение их утечки на уровне системы.
Эта ситуация значительно усложняет выявление атаки и последующее реагирование служб безопасности. Эксперты отмечают, что даже наличие в инфраструктуре нескольких корневых ключей KDS не гарантирует полной защиты. Система по умолчанию продолжает использовать самый старый ключ для совместимости, что означает, что первая скомпрометированная версия ключа может оставаться актуальной и использоваться злоумышленниками долгие годы. В результате, Golden dMSA становится не просто инструментом эскалации привилегий, а мощнейшим инструментом длительной и всесторонней компрометации корпоративной сети. После ответственного раскрытия уязвимости 27 мая 2025 года Microsoft признала, что существующая архитектура не предназначалась для защиты от атак скомпрометированного доменного контроллера и подчеркнула, что предотвращение компрометации корневого ключа KDS остается задачей наивысшего приоритета.
Компания также отметила важность минимизации числа администраторов с доступом к таким критичным компонентам, а также усиления контроля и мониторинга активности учетных записей с привилегиями. В свете открытой уязвимости специалисты рекомендуют организациям внимательно пересмотреть политику управления привилегиями, усилить аудит доступа к доменным контроллерам и рассмотреть применение дополнительных средств обнаружения аномалий, способных выявлять попытки извлечения корневого ключа и генерации подозрительных сервисных паролей. Появление публичного PoC-инструмента от компании Semperis дополнительно подчеркивает актуальность темы и необходимость сразу же принять меры по снижению риска. Уязвимость Golden dMSA серьезно изменяет баланс сил в области безопасности Active Directory, превращая служебные учетные записи, ранее считавшиеся надежным элементом инфраструктуры, в потенциальную точку массового компрометирования. Эксплуатация одного уязвимого элемента может привести не только к локальному контролю домена, но и к полномасштабному доминированию над всей лесовой структурой AD, что может иметь катастрофические последствия для организации.
В заключение, Golden dMSA демонстрирует, насколько важна комплексная безопасность и необходимость регулярного анализа архитектуры новых функций даже в самых современных и широко распространенных серверных платформах. Всем организациям, использующим Windows Server 2025 и связанные с ним компоненты, крайне рекомендуется пересмотреть принципы управления привилегиями и уделить особое внимание защите корневых ключей шифрования во избежание масштабных и долгосрочных компрометаций.
