[English]In Windows Server 2025 wurden delegated Managed Service Accounts (dMSAs) neu eingeführt. Das sind Service-Konten für das Active Directory (AD), die neue Funktionen ermöglichen sollen. Sicherheitsforscher sind nun darauf gestoßen, dass durch den Missbrauch von dMSAs Angreifer jeden Principal in der Domäne übernehmen können.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Das Thema ist mir die Nacht über nachfolgenden Tweet untergekommen. Sicherheitsforscher Yuval Gordon ist einem gravierenden Problem auf die Spur gekommen, welches Microsoft (derzeit) nicht fixen möchte.
Eine neue, ungepatchte Active Directory Privilege Escalation-Schwachstelle ermöglicht die Kompromittierung eines beliebigen Benutzers im AD, und funktioniert mit der Standardkonfiguration. Alles, was ein Angreifer braucht, um diesen Angriff durchzuführen, ist eine gutartige Berechtigung für eine beliebige Organisationseinheit (OU) in der Domäne – diese Berechtigung besitzen viele Konten oft unbemerkt.
Und das Beste daran, schreibt der Entdecker: Der Angriff funktioniert standardmäßig – die Domäne muss nicht mal dMSAs verwenden. Solange die Funktion existiert, was in jeder Domäne mit mindestens einem Windows Server 2025-Domänencontroller (DC) der Fall ist, lässt sich die Schwachstelle ausnutzen. Der Sicherheitsforscher hat dann die Details am 21. Mai 2025 im Akamai-Blog im Beitrag BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory veröffentlicht.
Was sind dMSAs?
Microsoft hat in Windows Server 2025 delegierte verwaltete Dienstkonten (dMSAs) eingeführt. Ein dMSA ist ein neuer Typ von Dienstkonto im Active Directory (AD), der die Möglichkeiten von gMSAs (Group Managed Service Accounts) erweitert.
Eine dMSA wird in der Regel erstellt, um ein bestehendes Dienstkonto zu ersetzen. Dabei ermöglicht ein dMSA, bestehende nicht verwaltete Dienstkonten zu migrieren, indem sie nahtlos in dMSAs umgewandelt werden. Um einen nahtlosen Übergang zu ermöglichen, kann eine dMSA die Berechtigungen des alten Kontos beim Migrationsprozess "erben". Durch die Migration wird das dMSA eng an das abgelöste Konto gekoppelt.
BadSuccessor zur AD-Kontenübernahme
Durch Analyse des Migrationsvorgangs in Windows Server 2025 hat der Akamai-Sicherheitsforscher Yuval Gordon eine Schwachstelle entdeckt, die es Angreifern ermöglicht, jeden Benutzer in der Active Directory (AD) zu kompromittieren.
Der BadSuccessor genannte Angriff nutzt die Funktion "Delegated Managed Service Account" (dMSA) aus, die in Windows Server 2025 eingeführt wurde, mit der Standardkonfiguration funktioniert und einfach zu implementieren ist.
Der Migrationsprozess einer dMSA kann durch den Aufruf des neuen Cmdlets Start-ADServiceAccountMigration ausgelöst werden, wobei intern ein neuer LDAP-RootDSE-Vorgang namens migrateADServiceAccount benutzt wird. Das CmdLet benötigt den Distinguished Name (DN) der dMSA sowie den DN des abgelösten Kontos. Und es wird eine Konstante, die StartMigration entspricht, benötigt.
Der Sicherheitsforscher beschreibt im Blog-Beitrag die Abläufe Migration zur eines alten AD-Kontos. Bei der Kerberos-Authentifizierung wird das Privilege Attribute Certificate (PAC) verwendet. Und bei der Anmeldung mittels dMSA stellten sie fest, dass die PAC nicht nur die SID der dMSA, sondern auch die SIDs des abgelösten Dienstkontos und aller zugehörigen Gruppen enthielt.
Das führte zur Frage, ob sich dieses Verhalten der PAC-Vererbung, welches durch ein einziges Attribut msDS-ManagedAccountPrecededByLink gesteuert wird, manipulieren lässt. Der Sicherheitsforscher beschreibt einen trickreichen Weg, um dMSA während der Kontenmigration zu missbrauchen, um die (ggf. niedrigen) Privilegien dieses Kontos für AD zu erhöhen.
Dieses Problem betrifft wahrscheinlich die meisten Unternehmen, die auf AD angewiesen sind, schreibt Yuval Gordon. In 91 % der von Akamai untersuchten Umgebungen fanden sich Benutzer außerhalb der Gruppe der Domänenadministratoren, die über die erforderlichen Berechtigungen zur Durchführung dieses Angriffs verfügten.
Das Problem: Die Akamai Sicherheitsforscher haben Microsoft zum 1. April 2025 (kein Scherz) über die Erkenntnisse im Vorfeld informiert. Microsoft hat alles, samt Proof of Concept (PoC), geprüft, das Ganze als "moderat" eingestuft, was nicht sofort gepatcht werden muss, und final die Veröffentlichung der Erkenntnisse genehmigt.
Microsoft geht davon aus, dass der Angreifer zur erfolgreichen Ausnutzung bereits über bestimmte Berechtigungen für das dMSA-Objekt verfügen muss. Als Antwort auf das Szenario der Erstellung einer neuen dMSA verwies Microsoft auf KB5008383, in dem die Risiken im Zusammenhang mit der CreateChild-Berechtigung erörtert werden.
Derzeit will Microsoft das Problem aus obigen Gründen nicht fixen – sondern das Problem irgendwann in Zukunft beheben (es gibt also keinen Patch). Daher müssen Unternehmen andere proaktive Maßnahmen ergreifen, um ihre Anfälligkeit für diesen Angriff zu verringern, schreibt Yuval Gordon. Alle Details zum Angriff sowie Strategien zur Erkennung und zur Abwehr finden sich im Akamai Blog-Beitrag.
Ähnliche Artikel:
Microsoft und der ungefixte ReFS-Bug in Windows, sieht schlecht aus
Windows 11 24H2/Server 2025 mit fettem Hyper-V-Bug
Stiefkind ReFS-Dateisystem – CPU/RAM-Auslastungs-Bug in Windows Server 2025 ungefixt
BadSuccessor: Nachlese zur dMSA AD-Privilegien-Erhöhungs-Problematik
MVP: 2013 – 2016
"Derzeit will Microsoft das Problem nicht fixen – sondern das Problem irgendwann in Zukunft beheben."
Kann das die hauseigene KI noch nicht? SCNR
Aber dann noch 6000 Entwickler entlassen.
Entwickler kosten Geld und machen Fehler. Diesen Ballast zu entsorgen bringt doppelten Gewinn. Besser ein paar Rechtsanwälte einstellen.
Da die KI aus der Vergangenheit lernt, ist es also guter Code wenn er Fehler hat? *hust*
Klingt mal wieder nach einer üblen Sache. Hoffentlich nicht allzu einfach der Exploit.
Was lernen wir daraus?
Derzeit keinen Server 2025 als DC einsetzen, bis Microsoft das Problem behoben hat!
Das ist kein Problem des Windows Server 2025 sondern ein organisatorisches UserManagement Problem.
Wir lernen daraus, dass man Berechtigungen nicht unüberlegt an user vergeben darf vor Allem Sammelberechtigungen wie "Create all child objects", was auch ohne dMSA Pfui ist.
Na ja hier steht es das MS eine Patch entwickelt:
"Until a formal patch is released by Microsoft, defensive efforts should focus on limiting the ability to create dMSAs and tightening permissions wherever possible.
Defenders should identify all principals (users, groups, computers) with permissions to create dMSAs across the domain and limit that permission to trusted administrators only.
To assist with this, we have published a PowerShell script that:
Enumerates all nondefault principals who can create dMSAs
Lists the OUs in which each principal has this permission
Microsoft has informed us that their engineering teams are working on a patch, and we will update the mitigation guidance in this blog post once further technical details are available."
So einen Krempel Erzählt Microsoft doch jedes Mal, das ist ja nichts Neues.
Zum Glück betreibe ich keinen Domänen Controller mit meinen Windows Server, was ich mich hingegen frage betrifft das Problem nur den Windows Server 2025 oder auch den Server 2016, 2019, 2022.
scroll nach oben, lese den ersten Satz.
In Windows Server 2025 wurden delegated Managed Service Accounts (dMSAs) neu eingeführt…
allerdings reicht ein DC 2025 in einem AD, selbst wenn die Funktion nicht genutzt wird
Also eine sehr schwere Lücke ist das jetzt nicht, ja es ist ein Problem, aber die Ausgangslage ist eher, wenn man grundsätzlich bei den User Permissions schlampt.
Lt. dem Artikel braucht es zur Ausnutzung die Berechtigung zum Anlegen der dMSA und die kommt entweder durch msDS-DelegatedManagedServiceAccount oder "Create all child objects" permissions. Und per default haben nur Domain Admins, Enterprise Admins, and Administrators (AD DC Server) die Permission msDS-DelegatedManagedServiceAccount.
Ich hab das Script mal laufen gelassen, wir haben hier aber noch keine 2025er DCs, aber es hat trotzdem ein paar Identities gefunden, teils Serviceaccount, teils Server-Cluster-Objekte, teils Computerkonten, teils AD-Gruppen, auch im Zusammenhang mit Exchange. Die Frage ist jetzt, was fange ich damit an? Server 2025 als DC werden wir erst frühestens nächstes Jahr haben, aber jetzt schonmal vorsichtig bereinigen, um später nicht im Probleme zu laufen? Wie bereinige ich das? Oder lassen und hoffen, dass MS das bis dahin fixt?
> Ich hab das Script mal laufen gelassen, wir haben hier aber noch keine 2025er DCs,
Wo findet man das Skript? Damit ich unser AD prüfen kann?
Im verlinkten Akamai Artikel ganz unten bei Mitigation:
https://github.com/akamai/BadSuccessor