Uma falha de design no Windows Server 2025 pode permitir que invasores contornem autenticação e gerem senhas para todas as contas de serviço gerenciadas em redes corporativas. A vulnerabilidade chamada Golden dMSA explora uma fraqueza no recurso delegated Managed Service Accounts introduzido recentemente. Diferente das contas de serviço tradicionais os dMSAs foram criados para eliminar senhas estáticas vinculando autenticação a máquinas autorizadas no Active Directory.
Essa inovação deveria proteger contra ataques comuns mas a Golden dMSA compromete o modelo ao explorar o ManagedPasswordId um componente com elementos previsíveis que possibilitam força bruta com apenas 1.024 tentativas. Isso permite gerar senhas válidas em minutos. O ataque segue quatro fases principais extração da chave raiz do Key Distribution Services enumeração de contas dMSA no Active Directory identificação dos atributos ManagedPasswordId e geração das senhas com ferramentas específicas. Com a chave KDS comprometida um invasor pode obter acesso persistente em todos os domínios do Active Directory já que essa chave não expira e sobrevive a trocas rotineiras de credenciais e atualizações.
Embora o ataque exija privilégios elevados como acesso de administrador de domínio ou de sistema o impacto é crítico. Ele contorna proteções avançadas como Credential Guard e compromete completamente o modelo de autenticação baseado em identidade de máquina. A detecção é difícil porque o Windows não registra eventos quando chaves KDS são acessadas. Administradores precisam configurar controles de auditoria para monitorar acessos a essas chaves e identificar requisições incomuns de autenticação em contas de serviço. A Microsoft reconheceu a falha em julho de 2025 afirmando que o recurso nunca foi projetado para proteger contra o comprometimento de um controlador de domínio.
