{"id":311729,"date":"2025-05-22T13:14:29","date_gmt":"2025-05-22T11:14:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311729"},"modified":"2025-07-17T16:06:16","modified_gmt":"2025-07-17T14:06:16","slug":"badsuccessor-dmsa-zur-privilegien-erhoehung-in-active-directory-missbrauchen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/22\/badsuccessor-dmsa-zur-privilegien-erhoehung-in-active-directory-missbrauchen\/","title":{"rendered":"BadSuccessor: dMSA zur Privilegien-Erh\u00f6hung in Active Directory missbrauchen"},"content":{"rendered":"

\"Windows\"[English<\/a>]In Windows Server 2025 wurden delegated Managed Service Accounts (dMSAs) neu eingef\u00fchrt. Das sind Service-Konten f\u00fcr das Active Directory (AD), die neue Funktionen erm\u00f6glichen sollen. Sicherheitsforscher sind nun darauf gesto\u00dfen, dass durch den Missbrauch von dMSAs Angreifer jeden Principal in der Dom\u00e4ne \u00fcbernehmen k\u00f6nnen.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir die Nacht \u00fcber nachfolgenden Tweet untergekommen. Sicherheitsforscher Yuval Gordon ist einem gravierenden Problem auf die Spur gekommen, welches Microsoft (derzeit) nicht fixen m\u00f6chte.<\/p>\n

\"BadSuccessor<\/a><\/p>\n

Eine neue, ungepatchte Active Directory Privilege Escalation-Schwachstelle erm\u00f6glicht die Kompromittierung eines beliebigen Benutzers im AD, und funktioniert mit der Standardkonfiguration. Alles, was ein Angreifer braucht, um diesen Angriff durchzuf\u00fchren, ist eine gutartige Berechtigung f\u00fcr eine beliebige Organisationseinheit (OU) in der Dom\u00e4ne – diese Berechtigung besitzen viele Konten oft unbemerkt.<\/p>\n

Und das Beste daran, schreibt der Entdecker: Der Angriff funktioniert standardm\u00e4\u00dfig – die Dom\u00e4ne muss nicht mal dMSAs verwenden. Solange die Funktion existiert, was in jeder Dom\u00e4ne mit mindestens einem Windows Server 2025-Dom\u00e4nencontroller (DC) der Fall ist, l\u00e4sst sich die Schwachstelle ausnutzen.\u00a0Der Sicherheitsforscher hat dann die Details am 21. Mai 2025 im Akamai-Blog im Beitrag BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory<\/a> ver\u00f6ffentlicht.<\/p>\n

Was sind dMSAs?<\/h2>\n

Microsoft hat in Windows Server 2025 delegierte verwaltete Dienstkonten (dMSAs) eingef\u00fchrt. Ein dMSA ist ein neuer Typ von Dienstkonto im Active Directory (AD), der die M\u00f6glichkeiten von gMSAs (Group Managed Service Accounts) erweitert.<\/p>\n

Eine dMSA wird in der Regel erstellt, um ein bestehendes Dienstkonto zu ersetzen. Dabei erm\u00f6glicht ein dMSA, bestehende nicht verwaltete Dienstkonten zu migrieren, indem sie nahtlos in dMSAs umgewandelt werden.\u00a0Um einen nahtlosen \u00dcbergang zu erm\u00f6glichen, kann eine dMSA die Berechtigungen des alten Kontos beim Migrationsprozess \"erben\". Durch die Migration wird das dMSA eng an das abgel\u00f6ste Konto gekoppelt.<\/p>\n

BadSuccessor zur AD-Konten\u00fcbernahme<\/h2>\n

Durch Analyse des Migrationsvorgangs in Windows Server 2025 hat der Akamai-Sicherheitsforscher Yuval Gordon eine Schwachstelle entdeckt, die es Angreifern erm\u00f6glicht, jeden Benutzer in der Active Directory (AD) zu kompromittieren.<\/p>\n

Der BadSuccessor genannte\u00a0Angriff nutzt die Funktion \"Delegated Managed Service Account\" (dMSA) aus, die in Windows Server 2025 eingef\u00fchrt wurde, mit der Standardkonfiguration funktioniert und einfach zu implementieren ist.<\/p>\n

Der Migrationsprozess einer dMSA kann durch den Aufruf des neuen Cmdlets Start-ADServiceAccountMigration<\/em> ausgel\u00f6st werden, wobei intern ein neuer LDAP-RootDSE-Vorgang namens migrateADServiceAccount<\/em> benutzt wird. Das CmdLet ben\u00f6tigt den\u00a0Distinguished Name (DN) der dMSA sowie den\u00a0DN des abgel\u00f6sten Kontos. Und es wird eine\u00a0Konstante, die StartMigration<\/em> entspricht, ben\u00f6tigt.<\/p>\n

Der Sicherheitsforscher beschreibt im Blog-Beitrag die Abl\u00e4ufe Migration zur eines alten AD-Kontos. Bei der Kerberos-Authentifizierung wird das Privilege Attribute Certificate (PAC) verwendet. Und bei der Anmeldung mittels dMSA stellten sie fest, dass die PAC nicht nur die SID der dMSA, sondern auch die SIDs des abgel\u00f6sten Dienstkontos und aller zugeh\u00f6rigen Gruppen enthielt.<\/p>\n

Das f\u00fchrte zur Frage, ob sich dieses Verhalten der PAC-Vererbung, welches durch ein einziges Attribut msDS-ManagedAccountPrecededByLink<\/em> gesteuert wird, manipulieren l\u00e4sst. Der Sicherheitsforscher beschreibt einen trickreichen Weg, um dMSA w\u00e4hrend der Kontenmigration zu missbrauchen, um die (ggf. niedrigen) Privilegien dieses Kontos f\u00fcr AD zu erh\u00f6hen.<\/p>\n

Dieses Problem betrifft wahrscheinlich die meisten Unternehmen, die auf AD angewiesen sind, schreibt Yuval Gordon. In 91 % der von Akamai untersuchten Umgebungen fanden sich Benutzer au\u00dferhalb der Gruppe der Dom\u00e4nenadministratoren, die \u00fcber die erforderlichen Berechtigungen zur Durchf\u00fchrung dieses Angriffs verf\u00fcgten.<\/p>\n

Das Problem: Die Akamai Sicherheitsforscher haben Microsoft zum 1. April 2025 (kein Scherz) \u00fcber die Erkenntnisse im Vorfeld informiert. Microsoft hat alles, samt Proof of Concept (PoC), gepr\u00fcft, das Ganze als \"moderat\" eingestuft, was nicht sofort gepatcht werden muss, und final die Ver\u00f6ffentlichung der Erkenntnisse genehmigt.<\/p>\n

Microsoft geht davon aus, dass der Angreifer zur erfolgreichen Ausnutzung bereits \u00fcber bestimmte Berechtigungen f\u00fcr das dMSA-Objekt verf\u00fcgen muss. Als Antwort auf das Szenario der Erstellung einer neuen dMSA verwies Microsoft auf KB5008383<\/a>, in dem die Risiken im Zusammenhang mit der CreateChild-Berechtigung er\u00f6rtert werden.<\/p>\n

Derzeit will Microsoft das Problem aus obigen Gr\u00fcnden nicht fixen – sondern das Problem irgendwann in Zukunft beheben (es gibt also keinen Patch). Daher m\u00fcssen Unternehmen andere proaktive Ma\u00dfnahmen ergreifen, um ihre Anf\u00e4lligkeit f\u00fcr diesen Angriff zu verringern, schreibt Yuval Gordon. Alle Details zum Angriff sowie Strategien zur Erkennung und zur Abwehr finden sich im Akamai Blog-Beitrag<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMicrosoft und der ungefixte ReFS-Bug in Windows, sieht schlecht aus<\/a>
\nWindows 11 24H2\/Server 2025 mit fettem Hyper-V-Bug<\/a>
\nStiefkind ReFS-Dateisystem \u2013 CPU\/RAM-Auslastungs-Bug in Windows Server 2025 ungefixt<\/a>
\nBadSuccessor: Nachlese zur dMSA AD-Privilegien-Erh\u00f6hungs-Problematik<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Windows Server 2025 wurden delegated Managed Service Accounts (dMSAs) neu eingef\u00fchrt. Das sind Service-Konten f\u00fcr das Active Directory (AD), die neue Funktionen erm\u00f6glichen sollen. Sicherheitsforscher sind nun darauf gesto\u00dfen, dass durch den Missbrauch von dMSAs Angreifer jeden Principal in … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[6712,4328,8373],"class_list":["post-311729","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-active-directory","tag-sicherheit","tag-windows-server-2025"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311729","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311729"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311729\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311729"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311729"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311729"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}