Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Golden dMSA: доступ к защищенным ресурсам AD через взлом контроллера домена

Специалисты Semperis обнаружили серьезный изъян проекта Managed Service Accounts (dMSA), который существенно упрощает взлом паролей к управляемым аккаунтам и позволяет получить постоянный доступ во всем их ресурсам в доменах Active Directory.

Функциональность dMSA была введена в Windows Server 2025 для зашиты от атак на протокол Kerberos. Разработанный экспертами способ внедрения бэкдора в обход аутентификации несложен в исполнении, однако для успешной атаки придется заполучить корневой ключ службы KDS.

Из-за этого создатели Golden dMSA оценили степень угрозы как умеренную: заветный ключ доступен только из-под учетной записи с высочайшими привилегиями — администратора корневого домена, админа предприятия либо SYSTEM.

С помощью этого мастер-ключа можно получить текущий пароль dMSA или gMSA (групповой управляемый аккаунт пользователя AD) без повторного обращения к контроллеру домена. Как оказалось, для регулярно и автоматически заменяемых паролей предусмотрено лишь 1024 комбинации, и они поддаются брутфорсу.

 

Таким образом, компрометация одного контроллера домена в рамках Golden dMSA может обернуться масштабным взломом управляемых аккаунтов AD-службы. Автор атаки также получает возможность горизонтально перемещаться между доменами целевой организации.

Примечательно, что представленный Semperis метод позволяет обойти Windows-защиту Credential Guard — механизм, предотвращающий кражу учеток, NTLM-хешей и тикетов Kerberos (идентификаторов TGT).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Почти две трети россиян не защищается от дипфейков

Совместное исследование Контур.Толка и продуктовой группы Контур.Эгида показало, что 64% участников не используют никаких методов защиты от атак с применением технологий дипфейка. При этом половина опрошенных опасается стать жертвами таких атак, а ещё 43% переживают за безопасность своих близких.

В опросе приняли участие 1200 работающих россиян. Согласно результатам, 30% респондентов беспокоит, что нейросети способны с высокой точностью воспроизвести голос и внешность любого человека.

Треть признала наличие угрозы, но считает, что ей можно противостоять. 22% отметили, что у дипфейков есть не только минусы, но и плюсы, а 16% заявили, что относятся к развитию этих технологий спокойно.

Главные страхи связаны с финансовыми рисками: половина участников опроса опасается, что злоумышленники могут взять кредит или похитить деньги от их имени. Ещё 43% переживают за своих родственников и знакомых. Для 22% респондентов главной угрозой является возможный урон репутации при использовании их дипфейков.

Несмотря на это, почти две трети опрошенных (64%) не предпринимают никаких мер защиты. Дополнительные технические средства — например, двухфакторную аутентификацию или самозапрет на кредиты — используют 21%. Договорённость с близкими о кодовом слове на случай подозрительных звонков есть у 10%. Ещё 8% удаляют или не публикуют в соцсетях фото и видео. При этом 32% респондентов полагаются на защитные механизмы, встроенные в цифровые сервисы, например, платформы для видеоконференций.

Системный аналитик Контур.Толка, эксперт Центра ИИ в Контуре Роман Теплоухов отметил, что технологии дипфейков быстро совершенствуются, и многие рекомендации по их выявлению уже не работают. Сегодня для противодействия приходится применять более сложные методы, в том числе анализ видеопотока в реальном времени.

Появляются и новые угрозы: например, сервисы, позволяющие генерировать аудио- и видеоконтент в режиме реального времени.

Руководитель R&D-лаборатории Центра технологий кибербезопасности ГК «Солар» Михаил Бузинов подчеркнул, что мишенью атак становятся не только частные лица, но и компании: «Основными целями кибератак с использованием дипфейков остаются топ-менеджеры, сотрудники финансовых и юридических отделов, лица, принимающие решения. Их ключевой ресурс — доступ к критически важной и конфиденциальной информации».

По его словам, такие атаки не носят массового характера, поскольку требуют серьёзной подготовки: изучения окружения жертвы, связей внутри компании, а также значительных затрат. В 2024 году одна атака на руководителя могла обходиться злоумышленникам в 1–1,5 млн рублей (аренда серверов в ЦОДе, работа команды специалистов по данным, ПО для генерации реалистичного дипфейка). Однако при успехе эти вложения окупались. К подобным угрозам уязвимы все отрасли, особенно финансовая и промышленная, а также государственный сектор.

Директор по продукту Staffcop Контур.Эгида Даниил Бориславский обратил внимание, что дипфейк может использоваться не только для мошенничества, но и как инструмент давления на бизнес:

«Достаточно одного поддельного видео или заявления от имени руководителя, чтобы спровоцировать кризис доверия и репутационные потери. Юридические механизмы защиты от таких угроз пока несовершенны, и это повышает ответственность бизнеса. Именно компании должны первыми выстраивать внутренние барьеры: внедрять практики проверки информации, обучать сотрудников и формировать у них привычку перепроверять даже то, что кажется очевидным».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru