Un defecto de diseño crítico en el último Windows Server 2025 de Microsoft permite a los atacantes evitar la autenticación y generar contraseñas para todas las cuentas de servicio administradas en las redes empresariales.
La vulnerabilidad, denominada “DMSA dorada”, explota una debilidad fundamental en el recién introducido cuentas de servicio administrados (DMSA) que reduce las protecciones criptográficas complejas a un ataque trivial de fuerza bruta que requiere solo 1.024 intentos.
El investigador de seguridad de Semperis, Adi Malyanker, descubrió la vulnerabilidad al analizar la arquitectura de DMSAS, la innovación de seguridad insignia de Microsoft diseñada para revolucionar la administración de cuentas de servicios en Windows Server 2025.
A diferencia de las cuentas de servicio tradicionales que dependen de las contraseñas estáticas vulnerables a los ataques de kerberoasting, los DMSA se diseñaron para vincular la autenticación directamente a las máquinas autorizadas en Active Directory, eliminando el robo de credenciales vinculando la autenticación a la identidad del dispositivo en lugar de las contraseñas administradas por el usuario.
El ataque Golden DMSA socava todo este modelo de seguridad al explotar una falla de diseño crítico en la estructura ManagedPasswordID utilizada para la generación de contraseñas.
Esta estructura contiene componentes predecibles basados en el tiempo con solo 1,024 combinaciones posibles, lo que hace que lo que debería ser computacionalmente imposible en una operación directa de fuerza bruta que se puede completar en minutos.
Windows Server 2025 Golden DMSA Attack
El ataque sigue un enfoque sistemático de cuatro fases que transforma un compromiso de controlador de dominio único en el acceso persistente en todo el bosque.
Primero, los atacantes extraen material criptográfico de la clave raíz de los Servicios de Distribución de Clave (KDS), que sirve como base para todas las contraseñas de cuentas de servicio administradas.
A continuación, enumeran las cuentas de DMSA en todo el bosque de Active Directory utilizando técnicas especializadas que evitan las listas de control de acceso restrictivo.
La tercera fase implica identificar los atributos correctos de ManagedPassWordID a través de la adivinación específica, seguido de la generación de contraseñas utilizando herramientas especializadas.
Lo que hace que esta vulnerabilidad sea particularmente peligrosa es su alcance y persistencia. El ataque opera a nivel forestal, lo que significa que una única extracción de clave de raíz KDS exitosa permite el movimiento lateral de dominio cruzado y el compromiso de cada cuenta de DMSA en todos los dominios dentro de ese bosque.
Dado que las claves de la raíz de KDS no tienen una fecha de vencimiento, este acceso podría en teoría durar indefinidamente, creando una puerta trasera persistente que sobrevive a rotaciones y actualizaciones de seguridad típicas.
Sempl califica esto La vulnerabilidad como riesgo moderado porque la explotación requiere la posesión de una clave raíz KDS, que solo es accesible para las cuentas más privilegiadas: administradores de dominio, administradores empresariales y acceso a nivel de sistema.
Sin embargo, los investigadores enfatizan que el impacto puede ser extremadamente alto, lo que permite a los atacantes evitar las protecciones modernas como Credential Guard y desafiar fundamentalmente los supuestos beneficios de seguridad de la autenticación unida a la máquina.
El ataque es particularmente preocupante porque evita completamente el flujo de autenticación previsto de Microsoft.
En lugar de seguir los procedimientos normales de autenticación de DMSA que requieren validación de identidad de la máquina, la técnica Golden DMSA utiliza claves criptográficas comprometidas para generar contraseñas válidas directamente, lo que hace que la protección de credenciales y protecciones similares sea irrelevante.
La detección de la actividad de Golden DMSA presenta desafíos significativos para los equipos de seguridad empresarial.
De manera predeterminada, no se registran eventos de seguridad cuando las teclas raíz KDS se comprometen, lo que requiere que los administradores configuren manualmente las listas de control de acceso del sistema (SACLS) en los objetos de clave raíz KDS para auditar el acceso de lectura.
Esta brecha de configuración hace que el ataque sea particularmente sigiloso y difícil de detectar en tiempo real. La herramienta está disponible a través de Girub.
Las organizaciones pueden monitorear volúmenes anormales de solicitudes de autenticación dirigidas a cuentas de servicio y solicitudes inusuales de boletos para topearse para cuentas DMSA.
Sin embargo, estos indicadores requieren un análisis de registro sofisticado y pueden generar falsos positivos en entornos empresariales ocupados.
Microsoft reconoció el informe de vulnerabilidad enviado al Centro de Respuesta de Seguridad de Microsoft el 27 de mayo de 2025. En su respuesta del 8 de julio de 2025, la compañía declaró: “Si tiene los secretos utilizados para derivar la clave, puede autenticarse como ese usuario. Estas características nunca han sido intencionadas para proteger contra un compromiso de un controlador de dominio”.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
