Golden dMSA: Nem triviálisan kihasználható, de végzetes Windows Server 2025 sebezhetőség

Bug

Egy újonnan felfedezett, kritikus tervezési hiba érinti a Windows Server 2025-ben bevezetett delegált szolgáltatásfiókokat (dMSA). A sérülékenység révén, ha a támadó megszerzi a KDS root kulcsot (amit általában csak domain admin jogosultsággal lehet), akkor minden gMSA/dMSA jelszava kiszámíthatóvá válik – akár forest-szinten is. Ez lehetővé teszi a tartós rejtett hozzáférést, hitelesítési korlátok megkerülését és domain-ek közti mozgást a hálózatban. A támadási módszer – „Golden dMSA” néven – egyszerűen végrehajtható, mivel a jelszógeneráló algoritmus gyenge, mindössze 1024 lehetséges időalapú variációval. A Microsoft szerint ez nem véd a domain controller kompromittálása ellen – ám ha ez megtörténik, az egész vállalati környezet feltörhető egyetlen kulccsal. 

Részletek itt.

( apal v | 2025. 07. 18., p – 09:59 )

Egységnyi idő alatt jó sok enterspályz van most!

( Imo | 2025. 07. 18., p – 10:55 )

Ha domain admin jogot szerzett egy támadó, akkor már régen rossz.

Azért nem teljesen. Domain admin abban a domain-ben tud bármit csinálni, minek admin-ja. Itt meg arról van szó, hogy akár az egész forest-ben matathat admin joggal. Vagyis a forest-ben levő ÖSSZES domain-hez, tree-hez hozzáfér. 

Van egy világhálózat, amiben egy porfészek branch admin-ja megszerzi a KDS root key-t (relatíve egyszerű, 1 perc, kell hozzá kb. egy Mimikatz), utána az egész világhálót agyon tudja baszni. Szerintem ez kurva nagy probléma. Nem csak az, hogy a saját admin-od nőhet a fejedre, hanem egy rosszindulatú támadó ha megtöri a branch office-t, onnantól az egész hálót megtörte. 

tl;dr: A sérülékenység nélkül csak azt a domain-t tudja lepusztítani, amit sikerült megtörnie. A sérülékenységgel meg az összeset, ami a forest-ben van. 

trey @ gépház

akkor már kurvanagyabaj™.

Abban a domain-ben, nem a forest-ben levő akár több száz domain-ben. Nem mindegy, hogy egy branch office-t kell újrahúzni, vagy a világon minden office leáll. Ezért kurva cinkes ez a sebezhetőség. Most, akinek van 2 DC-je, egy domain-je, nyilván nem probléma. Ez TOP500 és társainak gáz. 

trey @ gépház

Ebben a szakmában sosem lehet nyugodt az ember. Sokszor mondtam: neked minden nap szerencsédnek kell lennie, a támadónak elég egyszer. Ezen folyamatosan aggódni? 50 felett? :D Nem akarok én szívinfarktusban vagy sztrókban kifeküdni. 

Vedd könnyedén, relax! Főleg, ha az egészre szarik a Microsoft és baszik javítani! (ugye, kalebris?) 

:D

PS: ilyenkor örülök, hogy nem vagyok verzióbuzi, az ilyen szolgáltatásoknál mindig az - min. - aktuális-2 verziót favorizálom, így szerencsére engem közvetlenül ez nem érint (hint: 2025 Server only ...) :D

trey @ gépház

Ha jól étrtem a hibát, nem kell, hogy domain admin legyen, elég ha valami sebezhetőséget talál egy olyan programban, ami elég magas jogosultsággal fut. (tehát a domain admin jelszavát nem kell hozzá ismernie).

Már tucatnyi hiba volt korábban is, amivel lépcsőzetesen egy gépfiók-ból el lehetett jutni oda, hogy domain-adminként hajts végre utasításokat (pl. CVE-2021-42278 vagy CVE-2021-42287). 
Ennek hatására pedig nem csak azt a domaint tudja megtörni, amiben találta a sebezhetőséget, hanem a forest összes domainjét eléri innentől admin jogosultsággal.

Plusz a jelszó csere sem jelent megoldást. Tehát ha van egy domain admin, akitől később megválnak, hiába tiltották ki, megeshet, hogy előtte hozzáfért ehhez, és nem csak azt a domaint, hanem a forest minden domainjét eléri.

Nagy Péter

( the_manni | 2025. 07. 18., p – 12:32 )

Nem igen értem, a gMSA-nak (group managed service accounts) pont az a lényege, hogy a jelszó LDAP-ban tárolódik, onnan - megfelelő jogosultsággal - plaintext kiolvasható.

( bennyh | 2025. 07. 18., p – 13:36 )

Ha legalább valami 30 éves hiányosság lenne, de ezt hogy? 

 a jelszógeneráló algoritmus gyenge

Há'de miért nem fogtak egy erős algoritmust, amit talán már egy szakközépben is tanítanak?

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

( n.balazs v | 2025. 07. 18., p – 15:52 )

Megnéztem a cikket. Az az "attacker-controlled DC" nekem nem teljesen világos a képen. Ha egy támadó tud DC-t csinálni és azt beléptetni DC-ként egy meglévő AD-be, akkor az már régen rossz.

Másrészt sose becsüljük le tapasztaltabb CISO-k mondását: "Mi még WS 2019-t használunk. Így ez a sebezhetőség minket nem érint." 😇