DMSA Ouroboros: Extração Auto-Sustentável de Credenciais no Windows Server 2025

A Huntress detalhou uma técnica de persistência de seis comandos contra o Windows Server 2025 totalmente corrigido, na qual um usuário de baixo privilégio com CreateChild em qualquer OU e WriteProperty em uma conta alvo cria uma Managed Service Account delegada (dMSA). Este usuário assume a propriedade para conceder a si mesmo GenericAll, implanta uma Shadow Credential em msDS-KeyCredentialLink para autenticação PKINIT e escreve o próprio SID da dMSA em msDS-GroupMSAMembership, autorizando-se a extrair o NT hash da conta substituída.

Essa cadeia sobrevive à rotação de senha (PKINIT ignora a senha gerenciada e o KDC repopula o hash em cada requisição S4U2Self), à exclusão da conta original do atacante e pode bloquear os Domain Admins da remediação ao escrever um descritor de associação restritivo. Os defensores devem procurar por qualquer dMSA cujo próprio SID apareça em seu GroupMSAMembership, auditar as gravações de msDS-KeyCredentialLink em objetos dMSA, monitorar os Event IDs 5136, 4662 e 4768 para PKINIT contra dMSAs, e considerar a exclusão completa da dMSA maliciosa como a única correção eficaz, visto que a Microsoft encerrou o relatório como uma técnica de persistência que não atende aos critérios de manutenção.