Pesquisadores da Semperis revelaram uma falha de design grave no Windows Server 2025, apelidada de “Golden dMSA”, que pode permitir a invasores manter acesso persistente a todas as Contas de Serviço Gerenciadas (dMSAs e gMSAs) em um ambiente Active Directory — potencialmente por tempo indefinido.
Segundo o relatório, a vulnerabilidade facilita que hackers, após obterem a chave raiz do Serviço de Distribuição de Chaves (KDS), gerem senhas para qualquer conta de serviço sem precisar interagir diretamente com os controladores de domínio. Essa falha abre portas para movimentos laterais entre domínios e um backdoor permanente em toda a floresta do AD.
“Com a chave raiz KDS comprometida, é possível derivar a senha de qualquer dMSA ou gMSA, sem autenticações adicionais. Isso transforma um comprometimento isolado em controle total da infraestrutura de serviço”, alerta o pesquisador Adi Malyanker.
Como funciona o ataque Golden dMSA
O ataque envolve quatro etapas principais:
- Extração da chave raiz KDS com privilégios elevados (como Administrador de Domínio ou SYSTEM).
- Enumeração das contas dMSA usando APIs como LsaOpenPolicy e LsaLookupSids ou via LDAP.
- Identificação dos atributos ManagedPasswordID e hashes associados.
- Geração de senhas válidas para as contas de serviço, com uso de técnicas como Pass-the-Hash e Overpass-the-Hash.
Esse processo, segundo a Semperis, não exige novos privilégios após a obtenção da chave raiz, tornando-o um método de persistência extremamente perigoso.
Por que isso é tão crítico?
A falha expõe um ponto fraco estrutural do Active Directory: as chaves KDS, que atuam como “chaves mestres” para todas as contas gerenciadas. Mesmo com rotação automática de senhas, quem compromete uma chave raiz ganha acesso total a serviços protegidos por dMSA em todos os domínios da floresta.
Além disso:
- O Credential Guard é completamente contornado, permitindo o acesso a hashes NTLM e TGTs Kerberos.
- Ambientes com múltiplas chaves KDS ainda usam a chave mais antiga, preservando o acesso do invasor por design.
- Uma única extração de chave raiz equivale a controle de todos os serviços protegidos por dMSA na organização.
Resposta da Microsoft e recomendações
A falha foi reportada à Microsoft em 27 de maio de 2025. A empresa reconheceu que, se os segredos usados para derivar a chave forem comprometidos, o invasor pode se autenticar como qualquer usuário, ressaltando que os recursos do KDS não foram projetados para resistir a um comprometimento de controladores de domínio.
A Semperis também publicou um código PoC (prova de conceito) para demonstrar o ataque.
Impacto para empresas
O Golden dMSA transforma um simples comprometimento de controlador de domínio em um ponto de controle total da infraestrutura corporativa. Na prática, isso significa que invasores podem assumir o controle de cada serviço vinculado a contas dMSA/gMSA, sem limites de tempo e sem precisar renovar privilégios.
“Não é apenas escalada de privilégios. É dominação digital completa por meio de uma falha criptográfica”, reforça Malyanker.
