ثغرة Golden dMSA في Windows Server 2025: بوابة سيطرة كاملة على نطاقات Active Directory
Critical Golden dMSA Attack in Windows Server 2025 Enables Cross-Domain Attacks and Persistent Access
إعداد: مايسترو نيرو - قسم الهجمات على البنية التحتية
كشف باحثون في الأمن السيبراني عن ثغرة تصميم خطيرة في نظام حسابات الخدمة المُدارة (dMSA) في Windows Server 2025، يمكن أن تؤدي إلى وصول مستمر وتجاوز الصلاحيات عبر جميع نطاقات Active Directory.
ما هي ثغرة Golden dMSA؟
تُعرف الثغرة باسم Golden dMSA وتتيح للمهاجمين إنشاء كلمات مرور صالحة لأي dMSA أو gMSA في الشبكة بعد حصولهم على مفتاح الجذر KDS Root Key. هذا المفتاح يُعتبر حجر الأساس في تشفير كلمات المرور المُدارة في Active Directory.
آلية تنفيذ الهجوم
- ترقية الامتيازات على Domain Controller للحصول على مفتاح KDS Root Key.
- استخراج قائمة الحسابات dMSA باستخدام API أو LDAP.
- تخمين قيمة ManagedPasswordID واستنتاج Hash كلمات المرور.
- إنشاء تذاكر Kerberos صالحة واستخدام تقنيات Pass the Hash أو Overpass the Hash للوصول.
تحذير أمني: بعد حصول المهاجم على مفتاح الجذر، يمكنه اختراق كافة حسابات dMSA في كل نطاق داخل الغابة (Forest) دون الحاجة لصلاحيات إضافية.
المخاطر المحتملة
- التحكم الكامل في جميع خدمات المؤسسات المعتمدة على gMSA أو dMSA.
- التنقل الجانبي بين النطاقات دون اكتشاف.
- بقاء الثغرة قائمة حتى بعد تدوير كلمات المرور بسبب استخدام أقدم مفتاح KDS للتوافق.
- تجاوز تقنيات الحماية مثل Credential Guard بسهولة.
موقف مايكروسوفت
ردت مايكروسوفت بعد الإبلاغ عن الثغرة بأن "هذه الميزات لم تكن مصممة للحماية من اختراق وحدة تحكم النطاق"، ما يؤكد أن الثغرة ناتجة عن خلل تصميمي جوهري.
التوصيات والحلول
- الحد من حسابات Domain Admins و SYSTEM داخل الشبكة.
- تطبيق مراقبة صارمة على العمليات التي تصل إلى KDS Root Key.
- تحديث سياسات الأمان ومراجعة الصلاحيات الخاصة بالخدمات المُدارة.
- تتبع سجلات التذاكر والتحقق من أي نشاط غير معتاد في Kerberos.
ثغرة Golden dMSA تمثل تهديدًا استراتيجياً للبنية التحتية للهوية داخل المؤسسات، حيث تُمكّن المهاجم من الاستيلاء على كامل بيئة Active Directory من خلال ثغرة تصميمية واحدة.
آخر تحديث: 16 يوليو 2025