crop cyber spy hacking computer system in darkness

Golden dMSA: Una Minaccia Emergente nei Sistemi Windows

Cos’è Golden dMSA?

Il termine Golden dMSA si riferisce a un attacco informatico avanzato e particolarmente subdolo che sfrutta un account privilegiato presente in ambienti Windows: il Directory Service Restore Mode (DSRM) Administrator. A differenza del più noto Golden Ticket (legato alla manipolazione del servizio Kerberos), Golden dMSA sfrutta una debolezza operativa spesso trascurata nelle configurazioni di dominio Active Directory.

Contesto: Cos’è l’Account DSRM?

Il DSRM è una modalità speciale usata nei controller di dominio (Domain Controller) di Windows per eseguire attività di ripristino. L’account Administrator DSRM viene creato durante l’installazione del controller di dominio ed è locale, cioè non parte del dominio AD.

Molti amministratori dimenticano l’esistenza di questo account dopo l’installazione. Tuttavia, se abilitato e se la password è debole o non è stata mai cambiata, può rappresentare una porta d’accesso privilegiata estremamente pericolosa.

Come funziona un attacco Golden dMSA?

Il nome “Golden dMSA” (dove “dMSA” è un gioco di parole su DSRM e su MSA – Managed Service Account) è un termine emergente usato in ambito offensivo per descrivere la tecnica di sfruttamento dell’account DSRM al di fuori della modalità di ripristino.

Passaggi tipici di un attacco:

  1. Accesso iniziale al controller di dominio (via exploit o escalation locale).
  2. Elevazione di privilegi a SYSTEM.
  3. Attivazione dell’account DSRM (se disabilitato).
  4. Reset della password DSRM con comandi come: ntdsutil set dsrm password reset password on server null
  5. Accesso persistente con privilegi equivalenti a Domain Admin, senza toccare Kerberos, ticket o policy AD.
  6. In certi casi, uso combinato con boot in DSRM o manipolazione del servizio NTDS per azioni ancora più invasive.

Perché è così pericoloso?

  • Bypassa Kerberos e altre misure di logging standard: molti SIEM e sistemi EDR non monitorano i comandi DSRM.
  • Persistenza silenziosa: anche se si ruotano le password degli account di dominio, l’attaccante può conservare accesso con l’account DSRM.
  • Accesso totale al database NTDS.dit (contenente tutte le credenziali AD hashate).
  • Spesso non rilevato dai controlli tradizionali.

Indicatori di compromissione (IoC)

Monitorare l’abuso del DSRM è complesso. Alcuni IoC utili:

  • Comandi ntdsutil sospetti nei log locali.
  • Accessi a cmd.exe o powershell.exe da utenti non di dominio sul controller.
  • Account Administrator usato in momenti non previsti.
  • Reboot in modalità DSRM (non frequente ma possibile).

Come difendersi

1. Audit dell’account DSRM

Verificare che la password sia forte e aggiornata regolarmente. Usare strumenti come:

Get-LocalUser -Name Administrator | Select-Object *

2. Monitoraggio attivo

Implementare logging avanzato con Sysmon + SIEM:

  • Comando: Enable-PSRemoting
  • Event ID da tenere d’occhio: Event ID 4624 (logon type 2 o 10), ID 4720/4723/4724.

3. Disabilitare l’accesso locale all’account DSRM

Se non necessario, bloccare l’accesso login interattivo con GPO o regole LSA.

4. Segmentazione e hardening dei DC

  • Nessun accesso utente normale ai DC.
  • Blocco di PowerShell remota ai DC.

5. Backup e detection

  • Backup crittografati e protetti da tampering.
  • Script di detection automatica per attività DSRM.

Consigli

Golden dMSA è una tecnica silenziosa ma devastante. Agisce al di fuori del perimetro usuale della sicurezza Kerberos e può fornire a un attaccante il pieno controllo del dominio Active Directory. Il suo punto di forza è la sottovalutazione operativa da parte dei sysadmin, che spesso dimenticano l’esistenza o la gestione dell’account DSRM.

Nel mondo moderno della cybersecurity, nessuna porta va lasciata socchiusa. Assicurarsi che anche le modalità di emergenza e i canali di amministrazione legacy siano controllati è una delle chiavi per difendere davvero l’infrastruttura.

Risorse consigliate