Uma pesquisa recente da Microsoft destaca uma técnica perigosa de pós-exploração chamada dMSA dourado. Este novo método de ataque abusa do acesso de nível de SISTEMA em controladores de domínio para executar cargas úteis persistentes, incluindo ransomware que tem como alvo o núcleo de Active Directory. Ao sequestrar contas de serviço gerenciadas delegadas (dMSAs), os invasores podem obter acesso sem precisar comprometer credenciais tradicionais.
Originalmente introduzido no Windows Server 2025, Contas de Serviço Gerenciadas Delegadas (dMSAs) representam um grande avanço na segurança de contas de serviço. Embora contas estáticas baseadas em senhas permaneçam suscetíveis a Ataques de Kerberoasting, os dMSAs mudam o modelo de autenticação ao vincular o acesso diretamente às máquinas verificadas em Active Directory (DE ANÚNCIOS).
Esta abordagem centrada na máquina elimina roubo de credencial vinculando o acesso à identidade do dispositivo em vez de senhas gerenciadas pelo usuário, garantindo que apenas máquinas explicitamente autorizadas possam acessar a conta. No entanto, quando usadas indevidamente em cenários pós-exploração, as dMSAs podem ser usadas por invasores para executar códigos maliciosos a partir de infraestruturas confiáveis de alto privilégio.
Neste blog, detalharemos como funciona o fluxo de ataque Golden dMSA, por que ele representa vários riscos e como as organizações podem proteger identidades de máquina antes que os invasores o façam.
O que é Golden dMSA?
Golden dMSA é uma técnica de pós-exploração que permite aos invasores obter acesso de longo prazo em Active Directory (AD) gerando senhas válidas para Contas de Serviço Gerenciadas delegadas (dMSAs) e Contas de Serviço Gerenciadas de grupo (gMSAs).
Este método se torna viável após o invasor já ter obtido acesso privilegiado, como permissões de Administrador de Domínio ou de nível SISTEMA em um controlador de domínio. A partir daí, ele pode tirar vantagem de uma falha na forma como essas permissões são usadas. conta de serviço As senhas são geradas. O processo inclui elementos previsíveis, baseados em tempo e com variabilidade limitada, facilitando a engenharia reversa e a reprodução das senhas corretas.
Os invasores podem então gerar credenciais offline e representar contas de serviço críticas em todo o domínio, ignorando os controles de segurança normais e os mecanismos de rotação de senhas.
Como um ataque Golden dMSA se desenrola
Um ataque Golden dMSA normalmente começa depois que um invasor se estabelece no ambiente e aumenta seus privilégios. A partir daí, o método permite persistência secreta e ampla movimento lateral em Active Directory.
É assim que ocorre o típico ataque dMSA dourado:
1. Acesso inicial e escalonamento de privilégios
O invasor compromete um sistema dentro do domínio e escala para acesso de nível de administrador de domínio ou SISTEMA em um controlador de domínio, geralmente por meio de phishing, roubo de credenciais ou exploração de configurações incorretas.
2. Extração da chave raiz do KDS
Com acesso privilegiado, o invasor extrai a chave raiz do Key Distribution Services (KDS), um segredo criptográfico crítico usado por Active Directory para gerar senhas para contas de serviço gerenciadas.
3. Enumeração de contas de serviço
O invasor identifica Contas de Serviço Gerenciadas delegadas (dMSAs) e Contas de Serviço Gerenciadas de grupo (gMSAs) na floresta. Isso normalmente envolve a consulta de nomes de contas e identificadores associados usando LDAP ou outras ferramentas de diretório.
4. Geração de senha offline
Devido a uma fraqueza no algoritmo de geração de senhas, o invasor pode usar força bruta para acessar os valores e gerar senhas válidas usando ferramentas como o Golden dMSA, sem disparar alertas.
5. Impacto pós-exploração: implantação de ransomware em nível de SISTEMA
Com as credenciais das contas de serviço em mãos, o invasor pode entrar novamente no controlador de domínio e operar com privilégios de nível de SISTEMA. A partir daí, ele pode:
- Adulterar processos principais como LSASS (por exemplo, para posterior despejo ou injeção de credenciais).
- Implementar ransomware de uma máquina central de alta confiança com acesso em todo o domínio.
- Mova-se lateralmente para outros sistemas e infraestrutura.
Esta etapa do ataque é crucial porque o ransomware executado a partir de um controlador de domínio normalmente inclui ampla confiança de domínio e pode se espalhar rapidamente. A maioria das soluções de EDR tem visibilidade limitada das operações em nível de SISTEMA, especialmente em controladores de domínio. Para piorar a situação, a atividade da conta de serviço muitas vezes não é detectada pelas soluções de segurança padrão.
Como o Golden dMSA contorna as soluções de segurança tradicionais
O Golden dMSA é particularmente perigoso não por ser invasivo, mas pelo que pode fazer após obter acesso. Por ser uma técnica de pós-exploração, quando é explorado pelo controlador de domínio alvo, a maioria das soluções de segurança já está fora do escopo.
A detecção torna-se especialmente difícil porque os invasores operam usando credenciais legítimas e privilégios elevados. Assim que o invasor obtém acesso em nível de SISTEMA, ferramentas de segurança comuns, como EDR e antivírus, têm dificuldade para fornecer visibilidade ou aplicar controles nesses contextos privilegiados.
O movimento lateral também entra em jogo, pois se mistura com a atividade normal do administrador, dificultando a diferenciação entre ações maliciosas e operações rotineiras do domínio. Como nenhum malware ou exploit está necessariamente envolvido nesta fase, sistemas de detecção baseados em assinaturas ou comportamento podem não disparar alertas.
Resumindo, quando os invasores estão dentro do perímetro e aproveitando o Golden dMSA, as camadas de segurança usuais oferecem pouca resistência, tornando a detecção precoce e o reforço dos limites de privilégios essenciais.
SilverfortAbordagem de prevenção de dMSA Golden da
Mesmo em cenários de pós-exploração como o Golden dMSA, onde as ferramentas de segurança tradicionais muitas vezes falham, Silverfort protege o acesso direto e indireto aos controladores de domínio com MFA e rigorosas políticas de acesso em tempo real que impedem ativamente os invasores de progredirem dentro do ambiente.
Aplicação de MFA para acesso de administrador a controladores de domínio
Silverfort permite que as organizações apliquem MFA on qualquer tentativa de acesso aos controladores de domínio, incluindo:
- Sessões do Protocolo de Área de Trabalho Remota (RDP)
- PsExec execuções
- Acesso ao compartilhamento de arquivos SMB
Ao impor o MFA em pontos de acesso tradicionalmente desprotegidos, como RDP e PsExec, Silverfort tem a capacidade de exigir que os usuários verifiquem sua identidade com o MFA, o que pode ajudar a impedir que um invasor se mova lateralmente pelo ambiente. Isso interrompe a capacidade do invasor de utilizar credenciais geradas pelo Golden dMSA para acesso privilegiado, interrompendo efetivamente a progressão mesmo após o comprometimento inicial.
Proteção MFA em logins diretos do Windows em controladores de domínio
Silverfort fornece a capacidade de impor MFA em todos os logins interativos para controladores de domínio, incluindo:
- Logins de console local
- Sessões do Protocolo de Área de Trabalho Remota (RDP)
- Qualquer login direto usando credenciais de domínio válidas
Ao impor a AMF nestes pontos de acesso críticos, Silverfort impede o acesso não autorizado a controladores de domínio, mesmo que os invasores possuam credenciais válidas. Esse recurso é especialmente importante em cenários que envolvem ataques baseados em credenciais, como Golden Ticket, Pass-the-Hash ou movimento lateral. Exigir MFA no momento do login interrompe a cadeia de ataque precocemente, transformando controladores de domínio de alvos de alto risco em endpoints seguros.
Aplicação de acesso em tempo real
Silverfort realiza análises em tempo real de autenticação tráfego no ambiente, correlacionando sinais de identidade do usuário, postura do dispositivo, protocolo de acesso e padrões comportamentais. Isso permite decisões precisas de aplicação na camada de identidade, permitindo que você:
- Bloqueie caminhos de acesso não autorizados ou mal utilizados para sistemas críticos, como controladores de domínio, mesmo que credenciais válidas sejam usadas.
- Detecta anomalias baseadas em ferramentas, como uso inesperado de PsExec, PowerShell ou outros utilitários de movimento lateral, analisando desvios de linhas de base de comportamento de administrador conhecidas.
- Interrompa o movimento lateral precocemente aplicando políticas de acesso que se adaptem ao contexto de risco, evitando a escalada antes que os invasores atinjam alvos sensíveis.
Cerca virtual para impedir movimento lateral
Silverfort pode aplicar recursos de cerca virtual não apenas para usuários, mas também para identidades não humanas. Essas políticas estabelecem limites de acesso explícitos, restringindo a movimentação com base no tipo de identidade (conta de usuário ou serviço), sua função e fatores contextuais, como sistema de origem, método de acesso e protocolo.
Ao contrário da segmentação de rede tradicional, que carece de visibilidade no contexto de identidade, Silverfort aplica políticas na camada de autenticação. Isso permite a aplicação em tempo real, bloqueando a movimentação baseada em credenciais, mesmo quando invasores usam credenciais legítimas ou privilégios de nível de SISTEMA.
SilverfortA abordagem da garante:
- Usuários humanos só conseguem acessar os sistemas e cargas de trabalho explicitamente atribuídos a eles, eliminando o acesso geral entre máquinas associadas ao domínio.
- Contas de serviço, incluindo dMSAs, gMSAs e outras identidades não humanas, são regidas por políticas de proteção de cerca virtual que definem com quais máquinas, serviços ou aplicativos elas têm permissão para interagir. Quaisquer tentativas não autorizadas de acesso entre serviços são negadas imediatamente.
- O movimento lateral, seja por meio de ferramentas interativas (RDP, PsExec) ou processos automatizados (tarefas agendadas, inicializações de serviços), é avaliado em tempo real e bloqueado, a menos que esteja alinhado com a política predefinida.
Ao impor esses controles nos fluxos de identidade e autenticação, Silverfort elimina pontos cegos onde as contas de serviço e usuários privilegiados tradicionalmente se movem sem controle, reduzindo o risco de movimento lateral mesmo em ambientes privilegiados totalmente comprometidos.
A interrupção do movimento lateral começa na camada de autenticação
O Golden dMSA serve como um lembrete de que nenhum perímetro é inerentemente seguro e que os invasores farão concessões quando tiverem a oportunidade. O verdadeiro desafio é o que acontece a seguir, especialmente quando eles alcançam controladores de domínio com acesso em nível de SISTEMA.
É por isso que a aplicação de identidade em tempo real precisa estar em primeiro plano para garantir a proteção. Para se defender contra técnicas pós-exploit, as organizações precisam aplicar controles de segurança na camada de autenticação, não apenas no endpoint ou na rede.
Silverfort torna isso possível. Ao impor Ultimo privilégio, monitorando a autenticação em tempo real e controlando o acesso da conta de usuário e de serviço, Silverfort evita movimentação lateral e abuso de serviço, mesmo quando as credenciais são legítimas.
Aprenda como se defender contra Golden dMSA e outros ataques baseados em identidade agendando uma chamada com um de nossos especialistas em segurança de identidade.