根據 2025 年 7 月 16 日 The Hacker News 報導，一項名為「Golden dMSA」的重大安全漏洞影響了 Windows Server 2025 中的 Delegated Managed Service Accounts (dMSA)。這一設計缺陷允許攻擊者進行跨域攻擊並獲得持久存取權，威脅企業 Active Directory (AD) 環境的安全。該漏洞由 Semperis 研究人員發現，並被認為是低複雜度攻擊，因其利用了 dMSA 密碼生成中的可預測性，存在重大安全風險。
 

攻擊機制與技術細節

Golden dMSA 攻擊的核心在於 dMSA 功能中 Key Distribution Service (KDS) 根鍵的弱點。KDS 根鍵作為生成所有 dMSA 和 Group Managed Service Accounts (gMSA) 密碼的主鍵，若被提取，攻擊者無需連線至域控制器即可推導出所有相關帳戶的當前密碼。研究指出，密碼生成計算中的 ManagedPasswordId 結構包含僅 1,024 種可能的時間基組合，這使得暴力破解變得極其簡單。
這種設計缺陷源自 Windows Server 2025 引入的 dMSA 功能，旨在取代傳統服務帳戶並防範 Kerberoasting 攻擊，但卻意外開啟了新攻擊向量。攻擊過程利用了 dMSA 的授權機制。攻擊者若獲取 KDS 根鍵，可生成有效 Kerberos 票證，通過 Pass the Hash 或 Overpass the Hash 技術測試並使用這些密碼。
這種方法完全繞過了 Credential Guard 的保護，這一防護通常用於保護 NTLM 密碼哈希和 Kerberos 票證。研究人員 Adi Malyanker 開發了 GoldenDMSA 工具，模擬攻擊過程，幫助防禦者理解並評估風險。
 

威脅特性與影響

Golden dMSA 的最大威脅在於其持久性和跨域影響。一旦攻擊者獲取 KDS 根鍵，可實現整個 AD 林的憑證竊取和橫向移動。即使環境中存在多個 KDS 根鍵，系統仍優先使用最早的鍵以確保相容性，這為攻擊者提供了長期後門。
報導強調，該漏洞影響所有使用 dMSA 或 gMSA 的 Windows Server 2025 環境，特別是金融和公共事業等依賴 AD 的行業。影響範圍廣泛，攻擊可能導致企業敏感數據洩露、系統控制權喪失，甚至間接影響連線服務。Semperis 將風險評為中等，但若攻擊者成功滲透至林級別，後果可能升級為嚴重，影響整個組織的數位基礎設施。
攻擊動機與背後行為者雖然報導未明確指認攻擊者，但類似漏洞的歷史案例（如 SolarWinds 事件的 Golden SAML）顯示，國家支持的威脅行為者可能參與其中，目標可能是間諜活動或數據竊取。然而，獨立駭客或勒索軟體團體也可能利用此漏洞謀利，需進一步調查。
 

防禦策略與建議

為應對此威脅，企業應立即檢查 Windows Server 2025 環境的修補狀態，並確保 KDS 根鍵受到最高級別保護。建議限制 dMSA 創建權限，啟用多因素身份驗證 (MFA)，並監控異常 AD 活動。Semperis 建議使用其 Directory Services Protector 平台檢測潛在攻擊，並呼籲組織主動評估系統漏洞。
Microsoft 已於 5 月 27 日收到負責披露，並回應稱若攻擊者獲取密碼推導密鑰，可冒充相關用戶。雖然目前無立即修補，但企業應優先更新系統並硬化權限配置。

Golden dMSA 漏洞暴露了 Windows Server 2025 dMSA 設計中的根本缺陷，凸顯了身份管理安全的重要性。企業需採取主動措施，強化 AD 防禦，並密切關注 Microsoft 的後續修補。隨著攻擊技術進化，此類漏洞可能成為常態，促使安全行業開發更強大的防護策略。