Una investigación reciente de Microsoft destaca una peligrosa técnica de postexplotación llamada dMSA doradoEste nuevo método de ataque abusa del acceso a nivel de SISTEMA en los controladores de dominio para ejecutar cargas útiles persistentes, incluido ransomware que ataca el núcleo de Active DirectoryAl secuestrar cuentas de servicio administradas delegadas (dMSA), los atacantes pueden obtener acceso sin necesidad de comprometer las credenciales tradicionales.
Introducido originalmente en Windows Server 2025, Cuentas de servicios gestionados delegadas (dMSA) Son un avance importante en la seguridad de las cuentas de servicio. Si bien las cuentas estáticas basadas en contraseñas siguen siendo susceptibles a... Ataques de KerberoastingLas dMSA cambian el modelo de autenticación al vincular el acceso directamente a las máquinas verificadas en Active Directory (ANUNCIO).
Este enfoque centrado en la máquina elimina robo de credenciales Al vincular el acceso a la identidad del dispositivo en lugar de a las contraseñas administradas por el usuario, se garantiza que solo las máquinas explícitamente autorizadas puedan acceder a la cuenta. Sin embargo, cuando se abusa de ellas en escenarios posteriores a la explotación, los atacantes pueden usar las dMSA para ejecutar código malicioso desde infraestructuras confiables con altos privilegios.
En este blog, analizaremos cómo funciona el flujo de ataque Golden dMSA, por qué presenta múltiples riesgos y cómo las organizaciones pueden protegerse. identidades de máquina antes de que lo hagan los atacantes.
¿Qué es Golden dMSA?
Golden dMSA es una técnica de postexplotación que permite a los atacantes obtener acceso a largo plazo en Active Directory Entornos (AD) mediante la generación de contraseñas válidas para cuentas de servicio administradas delegadas (dMSA) y cuentas de servicio administradas grupales (gMSA).
Este método se vuelve viable después de que el atacante ya haya obtenido acceso privilegiado, como permisos de administrador de dominio o de sistema en un controlador de dominio. A partir de ahí, puede aprovechar una falla en la forma en que estos... cuenta de servicio Se generan contraseñas. El proceso incluye elementos predecibles, basados en el tiempo y con variabilidad limitada, lo que facilita la ingeniería inversa y la reproducción de las contraseñas correctas.
Los atacantes pueden luego generar credenciales fuera de línea y suplantar cuentas de servicios críticos en todo el dominio, eludiendo los controles de seguridad normales y los mecanismos de rotación de contraseñas.
Cómo se desarrolla un ataque dMSA dorado
Un ataque Golden dMSA suele comenzar después de que un atacante se afianza en el entorno y escala privilegios. A partir de ahí, el método permite una persistencia encubierta y un alcance extenso. movimiento lateral en Active Directory.
Así es como se produce el típico ataque de dMSA dorado:
1. Acceso inicial y escalada de privilegios
El atacante compromete un sistema dentro del dominio y escala al acceso de nivel de administrador de dominio o de SISTEMA en un controlador de dominio, a menudo a través de phishing, robo de credenciales o explotación de configuraciones incorrectas.
2. Extracción de la clave raíz de KDS
Con acceso privilegiado, el atacante extrae la clave raíz del Servicio de distribución de claves (KDS), un secreto criptográfico crítico utilizado por Active Directory para generar contraseñas para cuentas de servicios administrados.
3. Enumeración de cuentas de servicio
El atacante identifica las Cuentas de Servicio Administradas delegadas (dMSA) y las Cuentas de Servicio Administradas de Grupo (gMSA) en todo el bosque. Esto suele implicar la consulta de nombres de cuenta e identificadores asociados mediante LDAP u otras herramientas de directorio.
4. Generación de contraseñas sin conexión
Debido a una debilidad en el algoritmo de generación de contraseñas, el atacante puede forzar los valores y generar contraseñas válidas utilizando herramientas como Golden dMSA, sin activar alertas.
5. Impacto posterior a la explotación: implementación de ransomware a nivel de SISTEMA
Con las credenciales de las cuentas de servicio en mano, el atacante puede reingresar al controlador de dominio y operar con privilegios de nivel de SISTEMA. Desde aquí, puede:
- Manipular procesos centrales como LSASS (por ejemplo, para inyectar o eliminar más credenciales).
- Despliegue ransomware desde una máquina central de alta confianza con acceso a todo el dominio.
- Moverse lateralmente hacia otros sistemas e infraestructuras.
Esta etapa del ataque es crucial, ya que el ransomware ejecutado desde un controlador de dominio suele contar con una amplia confianza en el dominio y puede propagarse rápidamente. La mayoría de las soluciones EDR tienen una visibilidad limitada de las operaciones a nivel de sistema, especialmente en los controladores de dominio. Para colmo, la actividad de las cuentas de servicio suele pasar desapercibida para las soluciones de seguridad estándar.
Cómo Golden dMSA elude las soluciones de seguridad tradicionales
La dMSA dorada es particularmente peligrosa, no porque se infiltre, sino por lo que puede hacer tras obtener acceso. Al ser una técnica de postexplotación, cuando el controlador de dominio objetivo la explota, la mayoría de las soluciones de seguridad ya están fuera de su alcance.
La detección se vuelve especialmente difícil porque los atacantes operan con credenciales legítimas y privilegios elevados. Una vez que el atacante obtiene acceso a nivel de SISTEMA, las herramientas de seguridad comunes, como EDR y antivirus, tienen dificultades para proporcionar visibilidad o implementar controles en esos contextos privilegiados.
El movimiento lateral también influye, ya que se mezcla con la actividad administrativa normal, lo que dificulta diferenciar las acciones maliciosas de las operaciones rutinarias del dominio. Dado que en esta etapa no hay necesariamente malware ni exploits involucrados, es posible que los sistemas de detección basados en firmas o comportamiento no activen ninguna alerta.
En resumen, una vez que los atacantes están dentro del perímetro y aprovechan Golden dMSA, las capas de seguridad habituales ofrecen poca resistencia, lo que hace que la detección temprana y el fortalecimiento de los límites de privilegios sean fundamentales.
SilverfortEnfoque de prevención de la dMSA dorada
Incluso en escenarios de post-explotación como Golden dMSA, donde las herramientas de seguridad tradicionales a menudo resultan insuficientes, Silverfort protege el acceso directo e indirecto a los controladores de dominio con MFA y una estricta aplicación de políticas de acceso en tiempo real que impiden activamente que los atacantes avancen dentro del entorno.
Aplicación de MFA para el acceso de administrador a los controladores de dominio
Silverfort permite a las organizaciones hacer cumplir MFA on cualquier intento de acceso a los controladores de dominio, incluyendo:
- Sesiones de Protocolo de Escritorio Remoto (RDP)
- PsExec ejecuciones
- Acceso a recursos compartidos de archivos SMB
Al aplicar MFA en puntos de acceso tradicionalmente desprotegidos, como RDP y PsExec, Silverfort tiene la capacidad de Requerir que los usuarios verifiquen su identidad con MFA, lo que puede ayudar a impedir que un atacante se mueva lateralmente por un entorno. Esto impide que el atacante aproveche las credenciales generadas por Golden dMSA para obtener acceso privilegiado, deteniendo así su avance incluso después de la vulneración inicial.
Protección MFA en inicios de sesión directos de Windows en controladores de dominio
Silverfort Proporciona la capacidad de aplicar MFA en todos los inicios de sesión interactivos a los controladores de dominio, incluidos:
- Inicios de sesión en la consola local
- Sesiones de Protocolo de Escritorio Remoto (RDP)
- Cualquier inicio de sesión directo utilizando credenciales de dominio válidas
Al aplicar la MFA en estos puntos de acceso críticos, Silverfort Impide el acceso no autorizado a los controladores de dominio incluso si los atacantes poseen credenciales válidas. Esta capacidad es especialmente importante en escenarios que involucran ataques basados en credenciales como Golden Ticket, Pass-the-Hash o movimiento lateralExigir MFA al momento de iniciar sesión interrumpe la cadena de ataque de forma temprana, convirtiendo a los controladores de dominio de objetivos de alto riesgo en puntos finales seguros.
Control de acceso en tiempo real
Silverfort Realiza análisis en tiempo real de autenticación Tráfico en todo el entorno, correlacionando señales de identidad del usuario, estado del dispositivo, protocolo de acceso y patrones de comportamiento. Esto permite tomar decisiones precisas de cumplimiento en la capa de identidad, lo que le permite:
- Bloquee rutas de acceso no autorizadas o mal utilizadas a sistemas críticos como controladores de dominio, incluso si se utilizan credenciales válidas.
- Detecta anomalías basadas en herramientas, como el uso inesperado de PsExec, PowerShell u otras utilidades de movimiento lateral, mediante el análisis de desviaciones de las líneas de base de comportamiento de administrador conocidas.
- Interrumpa el movimiento lateral de forma temprana aplicando políticas de acceso que se adapten al contexto de riesgo, evitando la escalada antes de que los atacantes alcancen objetivos sensibles.
Cercado virtual para detener el movimiento lateral
Silverfort Puede aplicar capacidades de cercado virtual no solo para los usuarios, sino también para identidades no humanasEstas políticas establecen límites de acceso explícitos, restringiendo el movimiento según el tipo de identidad (cuenta de usuario o servicio), su rol y factores contextuales como el sistema de origen, el método de acceso y el protocolo.
A diferencia de la segmentación de red tradicional, que carece de visibilidad del contexto de identidad, Silverfort Aplica la política en la capa de autenticación. Esto permite la aplicación en tiempo real que bloquea el movimiento basado en credenciales, incluso cuando los atacantes utilizan credenciales legítimas o privilegios de nivel SISTEMA.
SilverfortEl enfoque de garantiza:
- Los usuarios humanos solo pueden acceder a los sistemas y cargas de trabajo que les fueron asignados explícitamente, lo que elimina el acceso generalizado entre máquinas unidas al dominio.
- Las cuentas de servicio, incluidas las dMSA, las gMSA y otras identidades no humanas, se rigen por políticas de protección de cercado virtual que definen con qué máquinas, servicios o aplicaciones pueden interactuar. Cualquier intento de acceso no autorizado entre servicios se deniega por completo.
- El movimiento lateral, ya sea a través de herramientas interactivas (RDP, PsExec) o procesos automatizados (tareas programadas, inicio de servicios), se evalúa en tiempo real y se bloquea a menos que se alinee con una política predefinida.
Al aplicar estos controles en los flujos de identidad y autenticación, Silverfort Elimina los puntos ciegos donde se encuentran las cuentas de servicio y usuarios privilegiados tradicionalmente se mueven sin control, reduciendo el riesgo de movimiento lateral incluso en entornos privilegiados totalmente comprometidos.
La detención del movimiento lateral comienza en la capa de autenticación
Golden dMSA nos recuerda que ningún perímetro es intrínsecamente seguro y que los atacantes lo vulneran cuando se les presenta la oportunidad. El verdadero desafío es qué sucederá después, especialmente cuando alcancen controladores de dominio con acceso a nivel de SISTEMA.
Por eso, la verificación de identidad en tiempo real debe ser prioritaria para garantizar la protección. Para defenderse de las técnicas post-exploit, las organizaciones deben aplicar controles de seguridad en la capa de autenticación, no solo en el endpoint o la red.
Silverfort hace esto posible. Al hacer cumplir privilegios mínimos, supervisando la autenticación en tiempo real y controlando el acceso tanto de usuarios como de cuentas de servicio, Silverfort evita el movimiento lateral y el abuso del servicio, incluso cuando las credenciales son legítimas.
Aprenda a defenderse de Golden dMSA y otros ataques basados en la identidad. agendar una llamada con uno de nuestros expertos en seguridad de identidad.
