Windows Server 2025 黄金dMSA攻击漏洞:跨域攻击与持久化访问风险分析
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
网络安全研究人员发现Windows Server 2025中的委托管理服务账户存在设计缺陷,攻击者可利用该漏洞获取Active Directory中所有托管服务账户的访问权限,实施跨域攻击。此漏洞简化了密码破解过程,攻击者需先获取密钥分发服务根密钥,可能导致企业级安全威胁和持久后门。微软对此漏洞的回应未能有效防范域控制器被入侵。
🎯
关键要点
- 网络安全研究人员发现Windows Server 2025中的委托管理服务账户存在设计缺陷。
- 该漏洞允许攻击者获取Active Directory中所有托管服务账户的访问权限,实施跨域攻击。
- 漏洞被称为黄金dMSA,攻击者可绕过身份验证机制生成密码,攻击复杂度较低。
- 攻击者需获取密钥分发服务根密钥,通常仅限特权账户持有。
- 委托管理服务账户旨在防范Kerberoasting攻击,但黄金dMSA攻击可导致持久后门。
- 攻击过程包括提取KDS根密钥、枚举dMSA账户、识别密码哈希和生成有效密码。
- 获取KDS根密钥后,攻击无需额外特权访问,形成持久化威胁。
- 黄金dMSA攻击可实现跨域账户入侵和全林凭据收集。
- 攻击绕过了常规凭据保护机制,微软对此漏洞的回应未能有效防范域控制器被入侵。
- 攻击可能导致企业级的数字统治,影响整个企业林中的所有受dMSA保护的服务。
➡️
