为了强化AD服务帐号的安全,微软在最新推出的Windows Server 2025当中,导入新型态的「什么是dMSA?简单来说,它是微软在Windows Server 2025新增的AD帐号类型,是群组受管理的服务帐号(Group Managed Service Account,gMSA)的延伸,其中最重要的功能,就是能将非受到管理的服务帐号无缝迁移来提升安全性。因此,一般来说,IT人员会建立dMSA帐号来著换现有的服务帐号,为了能无缝接轨,dMSA可透过迁移流程来继承旧帐号的所有权限。
不过,Akamai在调查dMSA内部的运作机制后,发现这种帐号能让攻击者挟持网域的任何原则,而攻击者触发弱点的事先准备工作,就是取得网域任意组织单位(Organizational Unit,OU)的良性权限,使得相关攻击能逃过各式的资安侦测机制。
值得留意的是,研究人员强调,这种弱点存在于预设组态的Windows Server 2025,而且相当容易利用。更可怕的是,企业的网域当中,只要有其中1台网域伺服器是采用这款作业系统架设,就会曝险,即使企业并未使用dMSA也无法幸免。
在调查的过程里,研究人员发现了称为模拟迁移(Simulated Migration)的手法,攻击者无须取得旧帐号的任何权限,唯一的条件就是事先得到dMSA帐号的写入权限。一旦研究人员标记dMSA帐号由指定使用者经手处理,