СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:22
#ИБ

dMSA Ouroboros: атака на Windows Server 2025 и Active Directory

Исследователи в области кибербезопасности описывают «dMSA Ouroboros» как сложную технику атаки, нацеленную на Windows Server 2025 и инфраструктуры Active Directory (AD). Ее особенность заключается в том, что злоумышленник выстраивает самодостаточный механизм извлечения учетных данных, который способен сохранять доступ даже после удаления исходной учетной записи атакующего.

В основе метода лежит эксплуатация определенных прав в AD и ошибок в модели делегирования для dMSAmanaged domain service accounts. При наличии разрешений CreateChild в организационном подразделении (OU) и WriteProperty на целевую учетную запись атакующий может инициировать процесс, который приводит к устойчивому извлечению учетных данных без постоянного участия с его стороны.

Как работает техника Ouroboros

Схема атаки построена как последовательность этапов. Сначала злоумышленник использует делегированные права для создания dMSA с двунаправленной связью с атрибутами учетной записи цели. Далее техника использует Shadow Credentials, что позволяет атаке автономно аутентифицироваться и авторизовываться.

После создания dMSA она может записать свой собственный Security Identifier (SID) в атрибут GroupMSAMembership. Это дает учетной записи доступ к собственным учетным данным и одновременно затрудняет восстановление контроля со стороны Domain Admins.

  • атака не требует постоянного участия атакующего;
  • может пережить ротацию паролей;
  • сохраняет доступ даже после удаления исходной учетной записи злоумышленника;
  • способна обходить стандартные сценарии восстановления.

Связь с CVE-2025-53779

В описании техники отдельно упоминается CVE-2025-53779, которая, по данным отчета, позволяет выполнять определенные эксплуатационные действия при управлении учетными данными в AD. Именно такие уязвимости, в сочетании с неправильно настроенными правами делегирования, делают атаку практической и опасной.

Примечательно, что атака не повышает привилегии в традиционном смысле, но обеспечивает закрепление и непрерывное извлечение учетных данных через цикл, не имеющий внешней проверки или надзора.

Почему это опасно для организаций

Главное последствие Ouroboros — не классическое повышение привилегий, а устойчивое закрепление в инфраструктуре. Атака опирается на фундаментальные разрешения, которые нередко присутствуют в корпоративных средах, и может оставаться незаметной для стандартных средств защиты.

На практике это означает, что злоумышленник способен удерживать доступ к среде без явных признаков компрометации, используя легитимные механизмы AD против самой системы.

Ограничения текущих защитных мер

Хотя Microsoft внедрила исправления для ряда связанных уязвимостей, включая усиление проверки KDC, это, как следует из отчета, не полностью устраняет риск. Техника Ouroboros может обходить отдельные меры защиты за счет неправильно настроенных моделей делегирования.

Именно поэтому стандартных средств обнаружения может быть недостаточно. Для выявления подобных атак требуется более глубокий анализ изменений в AD и аномалий в поведении учетных записей, включая подозрительные изменения GroupMSAMembership с признаками самообращения.

Что необходимо для защиты

Отчет подчеркивает, что противодействие такой технике требует глубокого понимания внутренних механизмов Active Directory. Организациям необходимо усиливать мониторинг, особенно в отношении конфигураций dMSA и контроля доступа.

  • проверять права CreateChild и WriteProperty в OU;
  • контролировать изменения в GroupMSAMembership;
  • отслеживать аномалии в конфигурациях dMSA;
  • усиливать мониторинг делегирования в AD;
  • использовать механизмы обнаружения, способные выявлять нетипичные связи между объектами учетных записей.

По мере того как киберугрозы продолжают эволюционировать, защита от тактик уровня Ouroboros потребует не только патч-менеджмента, но и постоянного контроля архитектуры Active Directory. В противном случае даже формально ограниченные права в домене могут стать основой для долговременной и труднообнаружимой компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: