{"id":311886,"date":"2025-05-26T09:19:50","date_gmt":"2025-05-26T07:19:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311886"},"modified":"2025-05-30T21:34:37","modified_gmt":"2025-05-30T19:34:37","slug":"badsuccessor-nachlese-zur-dmsa-ad-privilegien-erhoehungs-problematik","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/26\/badsuccessor-nachlese-zur-dmsa-ad-privilegien-erhoehungs-problematik\/","title":{"rendered":"BadSuccessor: Nachlese zur dMSA AD-Privilegien-Erh\u00f6hungs-Problematik"},"content":{"rendered":"

\"Windows\"[English<\/a>]K\u00fcrzlich haben Sicherheitsforscher auf eine potentielle Schwachstelle hingewiesen, die in den unter Windows Server 2025 neu eingef\u00fchrten delegated Managed Service Accounts (dMSAs) lauert. Durch den Missbrauch von dMSAs k\u00f6nnen Angreifer jeden Principal in der Dom\u00e4ne \u00fcbernehmen. Ein Sicherheitsforscher \u00e4u\u00dfert sich kritisch \u00fcber die Tatsache, dass Microsoft mit einem Patch zuwartet. Und ein Entwickler hat ein .NET-PoC erstellt, mit dem man die Schwachstelle testen kann – hier ein Nachtrag.<\/p>\n

<\/p>\n

BadSuccessor: dMSA AD-Privilegien-Erh\u00f6hung<\/h2>\n

\"\"Microsoft hat in Windows Server 2025 delegierte verwaltete Dienstkonten (dMSAs) eingef\u00fchrt. Ein dMSA ist ein neuer Typ von Dienstkonto im Active Directory (AD), der die M\u00f6glichkeiten von gMSAs (Group Managed Service Accounts) erweitert.<\/p>\n

Eine dMSA wird in der Regel erstellt, um ein bestehendes Dienstkonto zu ersetzen. Dabei erm\u00f6glicht ein dMSA, bestehende nicht verwaltete Dienstkonten zu migrieren, indem sie nahtlos in dMSAs umgewandelt werden.\u00a0Um einen nahtlosen \u00dcbergang zu erm\u00f6glichen, kann eine dMSA die Berechtigungen des alten Kontos beim Migrationsprozess \"erben\". Durch die Migration wird das dMSA eng an das abgel\u00f6ste Konto gekoppelt.<\/p>\n

Durch Analyse des Migrationsvorgangs in Windows Server 2025 hat der Akamai-Sicherheitsforscher Yuval Gordon eine Schwachstelle entdeckt, die es Angreifern erm\u00f6glicht, jeden Benutzer in der Active Directory (AD) zu kompromittieren.<\/p>\n

Der BadSuccessor genannte Angriff nutzt die Funktion \"Delegated Managed Service Account\" (dMSA) aus, die in Windows Server 2025 eingef\u00fchrt wurde, mit der Standardkonfiguration funktioniert und einfach zu implementieren ist. Ich hatte das Ganze im Blog-Beitrag\u00a0BadSuccessor: dMSA zur Privilegien-Erh\u00f6hung in Active Directory missbrauchen<\/a> beschrieben.<\/p>\n

Kritik an Microsofts Verhalten<\/h2>\n

Sicherheitsexperte Florian Roth hat das Verhalten von Microsoft bei BadSuccessor in nachfolgendem Tweet<\/a> massiv kritisiert.<\/p>\n

\"Thoughts<\/a><\/p>\n

Roth sieht den Fall als Beleg, dass das Eco-System in diesem Bereich ziemlich kaputt sei. Eine Privilegien-Anf\u00e4lligkeit wird gemeldet, Microsoft best\u00e4tigt, dass die Schwachstelle real ist, stuft sie aber als moderat ein und will irgendwann bei Gelegenheit patchen. Das Tool\u00a0Rubeus<\/a> unterst\u00fctze bereits den Missbrauch der obigen Schwachstelle.<\/p>\n

Seine Schlussfolgerungen bzw. Annahmen: Microsoft kann entweder Bugs nicht mehr einsch\u00e4tzen, oder hat aufgeh\u00f6rt, sich um On-Prem AD zu k\u00fcmmern (weil Entra ID das ist, was sie verkaufen wollen). Und die Sicherheitsexperten haben haben sich zur Offenlegung entschieden, obwohl dies ein schwerer Schlag sein w\u00fcrde.<\/p>\n

Hier kann ich irgendwie beide Seiten verstehen: Microsoft muss wohl bestimmte Regeln einhalten, die festlegen, ob etwas sofort gepatcht werden muss. Und ich kann die Sicherheitsforscher verstehen, die sich nicht ernst genommen f\u00fchlen und die Erkenntnisse publizieren. Andererseits scheint auch die Kommunikation seitens Microsoft extrem doof gelaufen zu sein.<\/p>\n

Ich denke, es h\u00e4tte die M\u00f6glichkeit gegeben, die Ver\u00f6ffentlichung zur\u00fcckzustellen, wenn ein Patch f\u00fcr Sommer 2025 avisiert worden w\u00e4re. Aktuell stecke ich in einem \u00e4hnlichen Dilemma, nachdem ein Blog-Leser mir eine potentielle Schwachstelle bei einer Praxissoftware f\u00fcr Zahn\u00e4rzte gemeldet hat. Der eingeschaltete Landesdatenschutzbeauftragte hat nachgeforscht und erhielt die Antwort \"alles kein Problem, muss beim Einrichten ber\u00fccksichtigt werden\". Den Leser erreiche ich nicht und die Kl\u00e4rung des Sachverhalts durch den Landesbeauftragten f\u00fcr Datenschutz dauert an. Mal sehen, wann ich was wie weitgehend offenlege.<\/p><\/blockquote>\n

Am Ende des Tages, so Florian Roth, sieht keiner der Beteiligten (Microsoft, die Akamai-Sicherheitsforscher, die das ver\u00f6ffentlicht haben) gut aus und es gibt nur Verlierer. Wie schlie\u00dft Roth seine Philippika: \"Das einzig Gute ist, dass Windows Server 2025 noch nicht weit verbreitet ist, so dass der Aktionsradius des Schadens in der realen Welt heute begrenzt ist\". Wie im ersten Beitrag und nachfolgend im Kommentar erw\u00e4hnt, muss Windows Server 2025 zudem als DC laufen, was weiter einschr\u00e4nkt.<\/p>\n

SharpSuccessor: BadSuccessor im .NET-Format<\/h2>\n

Zum Wochenende ist mir dann nachfolgender Tweet untergekommen, wo Logan Goins seine .NET-Version eines BadSuccessor-Exploits, als SharpSuccessor bezeichnet, vorgestellt.<\/p>\n

\"BadSuccessor<\/a><\/p>\n

SharpSuccessor ist ein, auf auf\u00a0GitHub<\/a> bereitgestelltes, .NET Proof of Concept (POC) zur Demonstration der Ausnutzung des von Yuval Gordon (@YuG0rd) von Akamai beschriebenen\u00a0BadSuccessor-Angriffs. Ein Benutzer mit geringen Privilegien und CreateChild-Berechtigungen f\u00fcr eine beliebige Organisationseinheit (OU) in der Active Directory-Dom\u00e4ne kann seine Privilegien zum Dom\u00e4nenadministrator ausbauen.<\/p>\n

Erg\u00e4nzung: Inzwischen hat auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) eine Warnung vor BadSuccessor<\/a> ausgegeben.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]K\u00fcrzlich haben Sicherheitsforscher auf eine potentielle Schwachstelle hingewiesen, die in den unter Windows Server 2025 neu eingef\u00fchrten delegated Managed Service Accounts (dMSAs) lauert. Durch den Missbrauch von dMSAs k\u00f6nnen Angreifer jeden Principal in der Dom\u00e4ne \u00fcbernehmen. Ein Sicherheitsforscher \u00e4u\u00dfert sich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[4328,8373],"class_list":["post-311886","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-sicherheit","tag-windows-server-2025"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311886","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311886"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311886\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311886"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311886"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311886"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}