كشف باحثون في مجال الأمن السيبراني عن “خلل تصميمي بالغ الخطورة” في حسابات الخدمة المُدارة المفوّضة (dMSA) التي تم تقديمها في نظام Windows Server 2025. ووفقًا لتقرير صادر عن شركة Semperis، فإن هذا الخلل قد يمكّن المهاجمين من تنفيذ هجمات واسعة التأثير، بما في ذلك التحرك الجانبي عبر نطاقات متعددة والحصول على وصول دائم إلى كافة حسابات الخدمة المُدارة ومواردها في Active Directory إلى أجل غير مسمى.
بمعنى آخر، يمكن للجهات المهاجمة، من خلال استغلال ناجح للثغرة، تجاوز آليات المصادقة وإنشاء كلمات مرور لجميع حسابات dMSA وgMSA (الحسابات المُدارة الجماعية) وحسابات الخدمة المرتبطة بها.
هجوم Golden dMSA: تصميم بسيط وتأثير كارثي
أطلقت الشركة على هذه التقنية اسم Golden dMSA، وأكدت أنها منخفضة التعقيد من الناحية التقنية، نظرًا لأن الثغرة تُبسط عملية توليد كلمات المرور عبر الهجوم بأسلوب brute-force. ومع ذلك، فإن تنفيذ الهجوم يتطلب امتلاك مفتاح الجذر لخدمة توزيع المفاتيح (KDS)، والذي لا يتوفر عادةً إلا للحسابات ذات الامتيازات العليا، مثل Domain Admins وEnterprise Admins وSYSTEM.
يُعد مفتاح KDS الجذر بمثابة “الجوهرة الثمينة” في بنية gMSA، إذ يُمكن من خلاله اشتقاق كلمات المرور الحالية لأي حساب dMSA أو gMSA دون الحاجة للاتصال بمتحكم النطاق (DC). ويستغل الهجوم خللًا تصميميًا أساسيًا في بنية توليد كلمات المرور، حيث تعتمد على مكونات زمنية يمكن التنبؤ بها ولا تتجاوز احتمالاتها 1024 احتمالًا فقط، مما يجعل تنفيذ الهجوم أمرًا سهلًا من الناحية الحسابية.
من ميزة أمان إلى باب خلفي
تُعتبر حسابات dMSA ميزة جديدة قدمتها مايكروسوفت في Windows Server 2025 كوسيلة لمواجهة هجمات Kerberoasting، حيث تربط المصادقة مباشرةً بأجهزة محددة وموثوقة ضمن Active Directory، ما يمنع سرقة بيانات الاعتماد. إلا أن هذه الحماية تنهار تمامًا عند اختراق مفتاح KDS الجذر.
بمجرد حصول المهاجم على الامتيازات الكافية، يُمكن تنفيذ الهجوم عبر أربع خطوات:
-
استخراج مفتاح KDS الجذر عبر رفع الامتيازات إلى SYSTEM على أحد متحكمات النطاق.
-
تعداد حسابات dMSA باستخدام واجهات برمجة التطبيقات LsaOpenPolicy وLsaLookupSids أو عبر بروتوكول LDAP.
-
تحديد خاصية ManagedPasswordID وتخمين تجزئات كلمات المرور.
-
توليد كلمات مرور صالحة (تذاكر Kerberos) لأي حساب dMSA أو gMSA واستخدامها في هجمات Pass-the-Hash أو Overpass-the-Hash.
وبمجرد اختراق مفتاح KDS، لا يتطلب الهجوم أي وصول إضافي بامتيازات عليا، مما يجعله وسيلة خطيرة للتمسك بالبقاء داخل البيئة المخترقة. وقال الباحث الأمني عدي ماليانكر: “يكفي اختراق نطاق واحد للحصول على مفتاح KDS لاختراق كافة حسابات dMSA في كل نطاقات الغابة (forest).”
تخطي Credential Guard واستغلال التصميم القديم
الأكثر خطورة أن الهجوم يتجاوز آليات حماية Credential Guard، والتي تهدف إلى حماية تجزئات كلمات المرور وتذاكر Kerberos وبيانات الاعتماد الحساسة. ورغم إمكانية وجود أكثر من مفتاح KDS في بعض البيئات، إلا أن النظام يعتمد دائمًا على أقدم مفتاح لضمان التوافق، مما يعني أن أي مفتاح مخترق قد يظل صالحًا لسنوات.
وبعد الإفصاح المسؤول عن الثغرة في 27 مايو 2025، علّقت مايكروسوفت بأن “امتلاك مفاتيح الاشتقاق يعني القدرة على المصادقة، وهذه الميزات لم تكن مصممة للحماية من اختراق متحكم النطاق.” من جانبها، نشرت شركة Semperis أداة مفتوحة المصدر لإثبات المفهوم حول الهجوم.
وفي تعليقه على الهجوم، قال ماليانكر: “ما يبدأ باختراق لمتحكم نطاق واحد، ينتهي بالسيطرة على كافة الخدمات المحمية بـ dMSA في المؤسسة بأكملها. نحن لا نتحدث عن تصعيد امتيازات فحسب، بل عن هيمنة رقمية كاملة على المؤسسة بأكملها من خلال ثغرة تشفير واحدة.”
