-
-
研究人员披露Windows Server 2025中的dMSA漏洞
-
发表于: 2025-7-19 17:05
-
随着技术的发展,Windows Server 2025引入了多项重要的安全创新,尤其是在服务账户管理方面。最近,Semperis的安全研究人员Adi Malyanker针对这一版本的Windows Server发现了一项关键设计缺陷,该缺陷存在于委托托管服务账户(dMSAs)中。这一缺陷极大地简化了暴力破解密码的过程,从而允许攻击者轻松绕过身份验证并生成所有dMSAs和gMSAs的密码及其相关的服务账户。该项研究揭示的攻击技术被称为“Golden dMSA攻击”,将其作为一种直观的入侵手段,可能导致严重的安全后果。
Golden dMSA攻击的首要目标是KDS根密钥,这是所有受管服务账户密码计算的基础。攻击者首先需要提取KDS根密钥,对dMSA和gMSA的密码生成构成直接威胁。在对这种漏洞的分析中,Semperis的研究者们将其风险等级评定为中等,原因在于攻击者必须掌握KDS根密钥,而此密钥通常仅对特权账户(如根域管理员、企业管理员和SYSTEM)可用。然而,一旦攻击者成功访问,仅需极少的努力便可进行跨域的横向移动,持久性地访问所有托管服务账户及其资源。
dMSA的设计初衷是解决传统服务账户的多项安全隐患。传统的静态密码管理不仅容易受到Kerberoasting攻击的影响,而且在跨团队服务之间协调密码的变化往往容易导致系统故障。相较之下,dMSAs通过将身份验证直接绑定到Active Directory(AD)授权机器上,实现了更加安全的认证机制。唯一获准的机器能够访问dMSA,这种方法有效地减少了凭证被盗的风险。
Golden dMSA攻击之所以有效,主要在于其利用dMSA的设计缺陷。具体而言,ManagedPasswordId的结构包含可预测的基于时间的组成部分,使得暴力破解生成密码的过程变得相对简单。攻击者由于可以在获得KDS根密钥后离线生成密码,可以在没有进一步特权的情况下继续进行攻击,形成持久性威胁。这一攻击不仅跨越了域界限,还允许攻击者在AD环境中自由移动,成为安全防护部署的一大隐患。
至今的服务账户发展历程显示,Microsoft逐步推出了不同版本的服务账户以提升安全性。从托管服务账户(MSA)到组托管服务账户(gMSA),再到当前的dMSA,各个版本在不同的安全需求和环境下提供相应的解决方案。dMSA的关键在于其从集中式密码管理转向机器绑定身份验证,从而改变了服务账户的安全性和访问控制方式。随着这项新技术的发布,开发和部署有效的检测和缓解机制变得尤为重要。
研究人员发现,KDS根密钥在Golden dMSA攻击中的作用不可小觑。作为Microsoft所谓的“密钥分发服务”的核心,攻击者一旦掌握了此密钥,就能轻松计算出域中gMSA账户的密码,而无需再次连接到域控制器。KDS根密钥下的ACL(访问控制列表)设置极为严格,限制了对其的访问,但由于一些技术手段,攻击者还是能够在有限的特权下获取这些密钥。一旦KDS根密钥被暴露,攻击者便可通过暴力破解的方式在短时间内获取所有相关dMSA和gMSA的密码,形成对整个AD环境的威胁。
在研究Golden dMSA的过程中,团队通过具体的技术分析逐步绘制了这一攻击流程,识别了攻击步骤中的关键环节:
- 提取KDS根密钥:攻击者首先需从域控制器中提取KDS根密钥。
- 枚举dMSA账户:通过暴力破解或LDAP查询,获取dMSA账户的名称和SID。
- 猜测ManagedPasswordID:攻击者针对性地识别ManagedPasswordID属性并获取密码散列。
- 密码生成:利用专用工具生成与被攻陷密钥关联的所有dMSA或gMSA的有效密码。
该研究在某种程度上揭示了Active Directory的密钥结构和认证机制的脆弱性,质疑了dMSA的安全性。研究表明,攻击不仅能成功地在域内多个目标间横向移动,还具备通过单一密钥弱点对整个林域造成影响的能力。
针对如此严重的安全威胁,Semperis还提出了一些防范措施。监控并审计KDS根密钥的使用情况至关重要。为此,管理员需要在AD中手动配置系统访问控制列表(SACL),以便监测对KDS根密钥对象的读取访问尝试。同时,Semperis新推出的服务账户保护模块已经整合了一系列安全指标,以帮助防止此类攻击。
恶意活动的识别不仅涵盖了对KDS根密钥的访问监控,还需要警惕异常的身份验证请求和Ticket-Granting Ticket (TGT)请求。识别潜在的攻击模式可以帮助企业在面对dMSA账户的安全威胁时更为主动,从而对抗可能的系统入侵。
综上所述,Golden dMSA攻击的发现不仅提醒相关企业重视其安全防护体系,更对Windows Server 2025的身份管理机制提出了严峻的考验,未来在安全创新与实际应用之间,如何平衡将成为企业信息安全管理的重要课题。随着技术的不断发展,安全环境也需同步更新,以应对潜在的攻击手段并防止数字资产的泄漏。
|
|
|---|---|
