El investigador de Semperis, Adi Malyanker, ha desarrollado una nueva herramienta denominada GoldenDMSA que incorpora la lógica del ataque, lo que permite estudiar y simular de forma eficaz esta novedosa técnica.
HOBOKEN, Nueva Jersey — 16 de julio de 2025 — Semperis, proveedor de soluciones de seguridad de identidad y ciberresiliencia basadas en inteligencia artificial, ha publicado hoy un nuevo estudio en el que se detalla Golden dMSA, un fallo de diseño crítico presente en las cuentas de servicio gestionadas delegadas (dMSA) de Windows Server 2025. El fallo puede dar lugar a ataques de gran impacto , permitiendo el movimiento lateral entre dominios y el acceso persistente a todas las cuentas de servicio gestionadas y sus recursos en Active Directory de forma indefinida.
Para ayudar a comprender mejor cómo funciona esta técnica de ataque en la práctica, el investigador de Semperis Adi Malyanker ha creado una herramienta llamada GoldenDMSA. La herramienta incorpora la lógica del ataque, lo que permite a los usuarios explorar, evaluar y simular de manera eficaz cómo se puede aprovechar esta técnica en entornos reales.
El ataque Golden dMSA aprovecha una vulnerabilidad criptográfica que puede socavar la última innovación de seguridad de Microsoft en Windows Server 2025. Esta técnica se aprovecha de los fundamentos arquitectónicos de los dMSA. El ataque aprovecha un fallo de diseño crítico: la estructura ManagedPasswordId contiene componentes basados en el tiempo que son predecibles y que solo admiten 1.024 combinaciones, lo que hace que la generación de contraseñas por fuerza bruta resulte computacionalmente trivial.
«Golden dMSA pone de manifiesto un fallo de diseño crítico que podría permitir a los atacantes generar contraseñas de cuentas de servicio y permanecer ocultos en entornos de Active Directory», afirmó Malyanker. «He creado una herramienta que ayuda a los responsables de la seguridad y a los investigadores a comprender mejor el mecanismo del ataque. Las organizaciones deberían evaluar de forma proactiva sus sistemas para adelantarse a esta amenaza emergente».
Los investigadores de Semperis, pioneros en la detección de amenazas a la identidad, han anunciado recientemente un nuevo estudio sobre nOauth, una vulnerabilidad conocida de Entra ID de Microsoft que permite la apropiación total de cuentas en aplicaciones SaaS vulnerables con un esfuerzo mínimo por parte del atacante. Además, se han desarrollado nuevas capacidades de detección en la Directory Services Protector de la empresa para permitir la defensa contra BadSuccessor, una técnica de escalada de privilegios de alta gravedad dirigida a una función recientemente introducida en Windows Server 2025. El año pasado, los investigadores de Semperis descubrieron Silver SAML, una nueva variante de la técnica Golden SAML de la era SolarWinds que elude las defensas estándar en aplicaciones integradas con Entra ID.
Para leer el blog de investigación completo, visita: https://www.semperis.com/blog/golden-dmsa-what-is-dmsa-authentication-bypass.
Acerca de Semperis
Semperis protege los servicios de identidad críticos de las empresas para los equipos de seguridad encargados de defender entornos híbridos y multinube. Diseñada específicamente para proteger entornos de identidad híbridos —como Active Directory, Entra ID y Okta—, la tecnología de Semperis, basada en inteligencia artificial, protege más de 100 millones de identidades frente a ciberataques, filtraciones de datos y errores operativos.
Como parte de su misión de ser una fuerza para el bien, Semperis ofrece diversos recursos para la comunidad cibernética, entre los que se incluyen lagalardonada Conferencia sobre Protección Híbrida de la Identidad (HIP),el podcast HIP y herramientas gratuitas de seguridad de la identidad Purple Knight y Forest Druid. Semperis es una empresa internacional de capital privado con sede en Hoboken, Nueva Jersey, que presta apoyo a las marcas y organismos gubernamentales más importantes del mundo, con clientes en más de 40 países.
Más información:https://www.semperis.com
Síguenos: Blog / LinkedIn / X / Facebook /YouTube
Contacto para los medios de comunicación:
Bill Keeler
Director sénior de Relaciones Públicas y Comunicación
Semperis
billk@semperis.com
