Уязвимость в Windows Server 2025 позволяет хакерам получить полный доступ ко всей корпоративной сети

Эксперты компании Semperis раскрыли критическую уязвимость в новой функции Windows Server 2025 — делегированных управляемых сервисных аккаунтах (dMSA). Эта уязвимость, получившая название Golden dMSA, позволяет злоумышленникам после единовременного получения KDS-ключа перехватывать управление над всеми dMSA- и gMSA-аккаунтами во всей лесной структуре Active Directory.

Суть проблемы — в предсказуемости структуры генерации паролей для сервисных аккаунтов. Исследователи объясняют, что алгоритм основывается на времени и имеет лишь 1024 возможных вариантов, что делает перебор паролей тривиальной задачей. Как только атакующий получает корневой KDS-ключ (что возможно с правами SYSTEM на одном из контроллеров домена), он может в обход всех защитных механизмов создавать валидные Kerberos-билеты и беспрепятственно перемещаться по доменам.

Наиболее опасный аспект — постоянство угрозы. Даже если администраторы внедряют новые KDS-ключи, по умолчанию система использует самый первый ключ ради совместимости, оставляя «золотую» лазейку открытой на годы. Кроме того, Golden dMSA полностью обходит такие защитные технологии, как Credential Guard.

Microsoft признала проблему, отметив, что подобные механизмы не защищают от компрометации контроллеров домена. Тем не менее, эксперты подчеркивают: при успешной атаке компрометируется не отдельная служба, а вся архитектура защищенных сервисных аккаунтов, обеспечивающая работу критических служб и приложений внутри корпоративной сети.