Lỗ hổng dMSA nghiêm trọng trên Windows Server 2025: Truy cập liên tục và tấn công xuyên miền đáng lo ngại
Một lỗ hổng được gọi là “Golden dMSA” đã tấn công Windows Server 2025. Nó cho phép kẻ tấn công hiện diện trên bộ điều khiển miền trích xuất khóa gốc KDS, tạo mật khẩu hợp lệ cho tất cả các tài khoản dịch vụ được quản lý và di chuyển từ miền này sang miền khác mà không bị mất quyền truy cập. Các nhóm Microsoft thừa nhận rằng cơ chế bảo vệ không được thiết kế để chống lại hành vi trộm cắp khóa như vậy. Trong khi đó, các SOC đang chứng kiến sự gia tăng các đợt quét nhắm vào dMSA. Fortinet, CrowdStrike và Symantec đang gióng lên hồi chuông cảnh báo: “thống trị toàn rừng” không còn là một kịch bản lý thuyết nữa.
Lỗ hổng Golden dMSA: Tại sao mối nguy hiểm lại ngay lập tức
Các tài khoản dMSA được cho là giúp đơn giản hóa việc di chuyển các dịch vụ cũ trong khi vẫn chặn Kerberoasting. Trớ trêu thay, tính năng mới này lại mở ra một cánh cửa mở toang. Sau khi khóa gốc KDS được sao chép, 1.024 tổ hợp thời gian là đủ để tính toán lại từng mật khẩu. Nhiệm vụ này hoàn thành trong vài giây trên một máy trạm tiêu chuẩn. Kẻ tấn công sau đó giả mạo một vé Kerberos, kết nối đến dịch vụ mục tiêu và biến mất khỏi nhật ký thông thường. Microsoft cho biết Credential Guard vẫn bất lực vì hệ thống coi kết nối là hợp lệ. Trong một thử nghiệm do Kaspersky thực hiện trên phòng thí nghiệm Azure, việc xâm nhập hai tên miền chỉ mất chưa đầy bốn phút: một kỷ lục đáng lo ngại đối với các quản trị viên Active Directory.
Trường hợp điển hình: Nhà máy AgroLink bị phát hiện trong quá trình kiểm tra
AgroLink, một doanh nghiệp vừa và nhỏ về nông sản thực phẩm, lưu trữ ERP trên Windows Server 2025. Trong quá trình kiểm tra ISAE 3402, các kiểm toán viên đã phát hiện ra một tài khoản dMSA giả mạo; bộ điều khiển SCADA đã bị ảnh hưởng. Tin tặc đã chuyển sang hệ thống email nội bộ, chứng minh sự dễ dàng của việc phân quyền. Truy cập liên tục: Cách kẻ tấn công duy trì quyền kiểm soát mạng
Một lỗi nâng cao HỆ THỐNG duy nhất trên một DC có thể gây ra thảm họa.
Sau khi dữ liệu khóa đã được trích xuất, không cần nâng cấp thêm nữa. Cửa hậu vẫn tồn tại sau khi khởi động lại, tự động xoay vòng mật khẩu, và thậm chí khôi phục từ bản sao lưu “sạch”. Trend Micro chỉ ra rằng khóa gốc KDS cũ nhất vẫn còn hiệu lực vì lý do tương thích, đôi khi còn giữ lại các khu rừng được tạo ra từ mười năm trước. McAfee đã mô phỏng cuộc tấn công: chi phí CPU không vượt quá 20% so với lõi hiện đại, khiến việc phát hiện bằng cách giám sát tải đơn giản là không thể. Đặc biệt là vì Ticket Granting Ticket được tạo ngoại tuyến không bao giờ yêu cầu tên miền, làm lu mờ các cảnh báo thông thường. Công cụ PoC do Semperis công bố biên dịch chuỗi thành bốn lệnh PowerShell. Chỉ cần trỏ một DLL tùy chỉnh đến bất kỳ dịch vụ được bảo vệ nào để duy trì quyền truy cập, ngay cả sau khi buộc xoay vòng mật khẩu.
Trọng tâm: Điểm mù của Sao lưu Ngoại tuyến
Nhiều kế hoạch phục hồi sau thảm họa dựa vào sao lưu ngoại tuyến. Tuy nhiên, nếu hình ảnh chứa khóa bị xâm phạm, việc khôi phục sẽ sao chép lại lỗ hổng. Chỉ việc tạo lại hoàn toàn khóa gốc KDS mới có thể đóng sự cố, một thao tác hiếm khi được ghi lại trong sổ tay hướng dẫn.
Liên miền: Tăng tốc phân cấp trong Active Directory
Một rừng có thể lưu trữ hàng chục miền.
Golden dMSA vượt qua tất cả. Ngay khi một miền mất khóa, tất cả các tài khoản dịch vụ được quản lý, dù là gMSA hay dMSA, đều bị lộ. CrowdStrike lưu ý sự tương đồng với Golden Ticket nổi tiếng, nhưng phạm vi rộng hơn: nó không còn liên quan đến việc mạo danh người dùng, mà là các dịch vụ quan trọng như SQL Server, Exchange hoặc proxy Secure Web Gateway. Trên Azure AD Connect, kẻ tấn công sau đó sẽ chèn các danh tính được đồng bộ hóa vào đám mây, che phủ ranh giới giữa các bên thuê lai.
Nghiên cứu điển hình: Nhà cung cấp dịch vụ chăm sóc sức khỏe và rò rỉ thông tin nhận dạng cá nhân (PII)
Tại một bệnh viện ở miền Trung Tây, việc xâm nhập ứng dụng X-quang thông qua dMSA đã lan truyền quyền đến miền thanh toán. Dữ liệu bệnh nhân, được mã hóa trên giấy, đã bị rò rỉ dưới dạng văn bản thuần túy thông qua dịch vụ SFTP do cùng một tài khoản vận hành.
Các biện pháp phòng thủ tức thời được các nhà cung cấp bảo mật khuyến nghị Symantec khuyến nghị lọc netflow để xác định các ticket Kerberos dài bất thường. Fortinet cung cấp chữ ký IPS chuyên dụng cho Semperis PoC. Kaspersky triển khai một tác nhân giám sát hàm
LsaLookupSids
trong bộ nhớ DC. Microsoft khuyến nghị tạo lại khóa gốc KDS và sau đó đăng ký lại từng dMSA; một thao tác phức tạp nhưng hiệu quả. Cuối cùng, McAfee và Trend Micro đề xuất chuyển đổi các dịch vụ quan trọng sang tài khoản truyền thống trong khi bản vá chính thức được triển khai. Các nhà quản lý SecOps nên kết hợp các biện pháp này với việc giám sát các đặc quyền của các vai trò Quản trị viên Miền, Quản trị viên DNS và Người vận hành Máy in, vốn thường bị bỏ qua. Tái tạo mà không làm hỏng mọi thứ: Kinh nghiệm của FinServ
Ngân hàng FinServ đã viết kịch bản luân chuyển 480 dMSA trong bảy giờ bằng Azure Automation. Không có sự cố ngừng dịch vụ lớn nào xảy ra, minh chứng cho thấy phương pháp DevOps giúp giảm thiểu rủi ro vận hành.
Tiếp theo là gì? Microsoft và các đề xuất của cộng đồng
Trong bản vá lỗi mới nhất, Microsoft đã cung cấp một bản sửa lỗi một phần, được kích hoạt thông qua khóa registry có tên “KdsHardeningLevel”. Các nhà nghiên cứu hy vọng sẽ có một bản cập nhật hoàn chỉnh cho lược đồ Active Directory để tích hợp một thành phần ngẫu nhiên mạnh mẽ hơn. Trong khi đó, cộng đồng nguồn mở đang tinh chỉnh các bộ phát hiện Sigma hướng đến dMSA. Fortinet đang phát triển mô-đun FortiSOAR để điều phối các phản hồi tự động. Trong khi các CISO đang nỗ lực giải quyết vấn đề, bài học rút ra vẫn rất rõ ràng: việc bảo mật mã gốc là vô cùng quan trọng. Cũng như Heartbleed hay PrintNightmare, trường hợp này là một lời nhắc nhở rằng việc đổi mới được quản lý kém có thể biến thành một lỗ hổng hệ thống. Tín hiệu yếu hôm nay, bão ngày mai?
Comments
Leave a comment