Semperis, azienda specializzata nella sicurezza dell’identità basata sull’intelligenza artificiale e nella resilienza informatica, ha pubblicato una nuova ricerca che illustra in dettaglio Golden dMSA, una grave vulnerabilità di progettazione attiva negli account di servizio gestiti delegati (delegated Managed Service Accounts, dMSA) in Windows Server 2025. Questa vulnerabilità può consentire attacchi ad alto impatto, abilitando movimenti laterali tra domini e accesso persistente a tutti gli account di servizio gestiti e alle loro risorse su Active Directory in modo indefinito.
Per aiutare a comprendere meglio come funziona questa tecnica di attacco nella pratica, il ricercatore di Semperis, Adi Malyanker, ha sviluppato uno strumento chiamato GoldenDMSA. Lo strumento incorpora la logica dell’attacco, permettendo agli utenti di esplorare, valutare e simulare in modo efficiente come la tecnica possa essere sfruttata in ambienti reali.
L’attacco Golden dMSA sfrutta una vulnerabilità crittografica che può compromettere la più recente innovazione di sicurezza di Microsoft in Windows Server 2025. Questa tecnica si basa sulle fondamenta architetturali dei dMSA. In particolare, sfrutta un grave difetto di progettazione: la struttura ManagedPasswordID contiene componenti basati sul tempo e facilmente prevedibili, con solo 1.024 combinazioni possibili, rendendo la generazione di password tramite attacco brute-force computazionalmente banale.
“Golden dMSA mette in luce un grave difetto di progettazione che potrebbe consentire agli attaccanti di generare le password degli account di servizio e mantenere l’accesso non rilevato negli ambienti Active Directory,” ha dichiarato Malyanker. “Ho realizzato uno strumento che aiuta i difensori e i ricercatori a comprendere meglio il meccanismo dell’attacco. Le organizzazioni dovrebbero valutare proattivamente i propri sistemi per restare un passo avanti rispetto a questa nuova minaccia.”
I ricercatori di Semperis, pionieri nel rilevamento delle minacce legate all’identità, hanno recentemente annunciato altre vulnerabilità, a partire dall nuova ricerca su nOauth, una vulnerabilità nota in Entra ID di Microsoft che consente la completa compromissione degli account in applicazioni SaaS vulnerabili con uno sforzo minimo da parte dell’attaccante. Inoltre, sono state sviluppate nuove funzionalità di rilevamento nella piattaforma Directory Services Protector dell’azienda per difendersi da BadSuccessor, una tecnica di escalation dei privilegi ad alta gravità che prende di mira una funzionalità introdotta di recente in Windows Server 2025. Lo scorso anno, i ricercatori di Semperis hanno scoperto Silver SAML, una nuova variante della tecnica Golden SAML risalente all’era SolarWinds, che permette di bypassare le difese standard nelle applicazioni integrate con Entra ID.
