Ricercatori di cybersecurity rivelano una falla critica nei Delegated Managed Service Accounts di Windows Server 2025
I ricercatori di cybersecurity hanno scoperto una falla critica di progettazione nei Delegated Managed Service Accounts (dMSAs) introdotti in Windows Server 2025. Secondo un rapporto condiviso da Semperis, questa vulnerabilità potrebbe portare ad attacchi di alto impatto, consentendo movimenti laterali tra domini e accesso persistente a tutti gli account di servizio gestiti e alle loro risorse all’interno di Active Directory.
In altre parole, un exploit riuscito potrebbe permettere agli avversari di aggirare le barriere di autenticazione e generare password per tutti i Delegated Managed Service Accounts (dMSAs) e i group Managed Service Accounts (gMSAs) e i loro account di servizio associati. Questo metodo di persistenza ed escalation dei privilegi è stato soprannominato Golden dMSA, e la società di cybersecurity lo considera di bassa complessità poiché la vulnerabilità semplifica la generazione di password tramite forza bruta.
Tuttavia, per sfruttare questa vulnerabilità, gli attori malintenzionati devono già essere in possesso di una chiave radice del Key Distribution Service (KDS), solitamente disponibile solo per account privilegiati come i root Domain Admins, Enterprise Admins e SYSTEM. Descritta come il gioiello della corona dell’infrastruttura gMSA di Microsoft, la chiave radice KDS funge da chiave maestra, permettendo a un attaccante di derivare la password corrente per qualsiasi account dMSA o gMSA senza dover connettersi al domain controller (DC).
L’attacco sfrutta una falla critica di progettazione: una struttura utilizzata per il calcolo della generazione delle password contiene componenti prevedibili basati sul tempo con solo 1.024 combinazioni possibili, rendendo la generazione di password tramite forza bruta computazionalmente banale, come spiegato dal ricercatore di sicurezza Adi Malyanker.
I Delegated Managed Service Accounts sono una nuova funzionalità introdotta da Microsoft per facilitare la migrazione da un account di servizio legacy esistente. Sono stati introdotti in Windows Server 2025 come un modo per contrastare gli attacchi Kerberoasting. Gli account macchina legano l’autenticazione direttamente a macchine esplicitamente autorizzate in Active Directory (AD), eliminando così la possibilità di furto di credenziali. Legando l’autenticazione all’identità del dispositivo, solo le identità delle macchine specificate mappate in AD possono accedere all’account.
Il Golden dMSA, simile agli attacchi Golden gMSA su Active Directory, si sviluppa in quattro fasi una volta che un attaccante ha ottenuto privilegi elevati all’interno di un dominio. Queste fasi includono l’estrazione del materiale della chiave radice KDS elevandosi ai privilegi SYSTEM su uno dei domain controller, l’enumerazione degli account dMSA utilizzando le API LsaOpenPolicy e LsaLookupSids o tramite un approccio basato su Lightweight Directory Access Protocol (LDAP), l’identificazione dell’attributo ManagedPasswordID e degli hash delle password attraverso tentativi mirati, e la generazione di password valide (cioè, ticket Kerberos) per qualsiasi gMSA o dMSA associato alla chiave compromessa, testandole tramite tecniche Pass the Hash o Overpass the Hash.
Questo processo non richiede ulteriori accessi privilegiati una volta ottenuta la chiave radice KDS, rendendolo un metodo di persistenza particolarmente pericoloso.
Fonte: The Hackers News
