{"id":313646,"date":"2025-07-17T16:14:08","date_gmt":"2025-07-17T14:14:08","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313646"},"modified":"2025-07-19T00:42:32","modified_gmt":"2025-07-18T22:42:32","slug":"windows-server-2025-authentication-bypass-mit-golden-dmsa","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/17\/windows-server-2025-authentication-bypass-mit-golden-dmsa\/","title":{"rendered":"Windows Server 2025: Authentication Bypass mit Golden dMSA"},"content":{"rendered":"

\"Windows\"[English<\/a>]In Windows Server 2025 wurden delegated Managed Service Accounts (dMSA) neu eingef\u00fchrt. Deren Design erm\u00f6glicht schwerwiegende Angriffe auf Managed Service Accounts und Active Directory-Ressourcen. Semperis-Research hat nun mit Golden dMSA ein Tool entwickelt, das die Logik des Angriffs enth\u00e4lt und dabei hilft, die Angriffsmechanismen besser zu verstehen und Abwehrma\u00dfnahmen einzuleiten.<\/p>\n

<\/p>\n

Was sind dMSAs?<\/h2>\n

\"\"Microsoft hat in Windows Server 2025 delegierte verwaltete Dienstkonten (dMSAs) eingef\u00fchrt. Ein dMSA ist ein neuer Typ von Dienstkonto im Active Directory (AD), der die M\u00f6glichkeiten von gMSAs (Group Managed Service Accounts) erweitert.\u00a0Eine dMSA wird in der Regel erstellt, um ein bestehendes Dienstkonto zu ersetzen.<\/p>\n

Dabei erm\u00f6glicht ein dMSA, bestehende nicht verwaltete Dienstkonten zu migrieren, indem sie nahtlos in dMSAs umgewandelt werden.\u00a0Um einen nahtlosen \u00dcbergang zu erm\u00f6glichen, kann eine dMSA die Berechtigungen des alten Kontos beim Migrationsprozess \"erben\". Durch die Migration wird das dMSA eng an das abgel\u00f6ste Konto gekoppelt.<\/p>\n

R\u00fcckblick auf BadSuccessor (dMSA Privilegien-Erh\u00f6hung)<\/h2>\n

Der Akamai-Sicherheitsforscher Yuval Gordon hatte durch Analyse des Migrationsvorgangs in Windows Server 2025\u00a0eine Schwachstelle in der Funktion \"Delegated Managed Service Account\" (dMSA) entdeckt, die es Angreifern erm\u00f6glicht, jeden Benutzer in der Active Directory (AD) zu kompromittieren. Ich hatte dies im Mai 2025 in Blog-Beitr\u00e4gen (siehe Artikellinks am Beitragsende) angesprochen.<\/p>\n

Golden dMSA-Angriff auf Active Directory<\/h2>\n

Semperis Sicherheitsforscher Adi Malyanker hat sich die Funktion \"Delegated Managed Service Account\" (dMSA) unter Windows Server 2025 genauer angesehen und ist ebenfalls auf einen kritischen Designfehler gesto\u00dfen. Da der Designfehler die Passwortgenerierung mittels Brute-Force stark vereinfacht, ist die Ausnutzung wenig komplex, erfordert aber bestimmte Voraussetzungen (Kompromittierung eines Forest).<\/p>\n

\"Golden<\/a><\/p>\n

Das Problem wurde dem Microsoft Security Response Center (MSRC) am 27. Mai 2025 gemeldet. Am 8. Juli 2025 antwortete Microsoft sinngem\u00e4\u00df, \"wenn Angreifer \u00fcber die Geheimnisse verf\u00fcgen, die zur Ableitung des erforderlichen Schl\u00fcssels verwendet wurden, k\u00f6nnen sie sich als dieser Benutzer authentifizieren. Diese Funktionen waren nie dazu gedacht, vor einer Kompromittierung eines Dom\u00e4nencontrollers zu sch\u00fctzen.\"<\/p>\n

Die Gefahr ist aber, dass Angreifer Golden dMSA benutzen, um sich unbemerkt im Active Directory auszubreiten und persistent einzunisten.\u00a0Die Details der Entdeckung sowie der Ablauf eines Angriffs wird im Semperis-Beitrag\u00a0Golden dMSA: What Is dMSA Authentication Bypass?<\/a> offen gelegt. Nachfolgend ziehe ich einige Informationen f\u00fcr Administratoren heraus.<\/p>\n

Golden dMSA-Angriff<\/h3>\n

Der Golden dMSA genannte Angriff erm\u00f6glicht es Thread-Akteuren, die Authentifizierung zu umgehen und Passw\u00f6rter f\u00fcr alle dMSAs und gMSAs und die damit verbundenen Dienstkonten zu generieren.<\/p>\n

Der Angriff nutzt eine kryptografische Schwachstelle beim Design aus: Eine Struktur, die f\u00fcr die Berechnung der Passw\u00f6rter verwendet wird, enth\u00e4lt vorhersehbare, zeitbasierte Komponenten mit nur 1.024 m\u00f6glichen Kombinationen. Dadurch wird die Brute-Force-Passwortgenerierung rechnerisch trivial.<\/p>\n

Gro\u00dfe Wirkung, aber Risiko m\u00e4\u00dfig<\/h3>\n

Dieser Angriff kann laut dem Semperis-Sicherheitsforscher sowohl zur Persistenz als auch zur Privilegienerweiterung in jeder AD-Umgebung mit dMSA-Konten genutzt werden. Ein erfolgreicher Angriff kann gro\u00dfe Auswirkungen haben, da er dom\u00e4nen\u00fcbergreifende laterale Bewegungen und dauerhaften Zugriff auf alle verwalteten Dienstkonten und ihre Ressourcen auf unbestimmte Zeit erm\u00f6glicht.<\/p>\n

Allerdings stuft der Sicherheitsforscher das Risiko einer Ausnutzung nur als \"m\u00e4\u00dfig\" ein, da die erfolgreiche Ausf\u00fchrung des Angriffs von einer teilweisen Kompromittierung des Forest abh\u00e4ngt. Hintergrund ist, dass Angreifer einen KDS-Root-Schl\u00fcssel besitzen m\u00fcssen. Dieser KDS-Root-Schl\u00fcssel steht aber nur den privilegiertesten Konten (Root Domain Admins, Enterprise Admins und SYSTEM) zur Verf\u00fcgung.<\/p>\n

GoldenDMSA-Tool\u00a0zur Erkennung<\/h2>\n

Das Problem f\u00fcr Sicherheitsverantwortliche ist, dass die Erkennung von Aktivit\u00e4ten \u00fcber golden dMSA-Angriffe eine manuelle Protokollkonfiguration und -\u00fcberpr\u00fcfung erfordert, was Gegenma\u00dfnahmen erschwert. Denn es werden standardm\u00e4\u00dfig keine Sicherheitsereignisse protokolliert, wenn ein KDS-Root-Schl\u00fcssel gef\u00e4hrdet ist.<\/p>\n

Um zu verstehen, wie diese Angriffstechnik in der Praxis funktioniert, hat Semperis Researcher Adi Malyanker mit GoldenDMSA ein Tool entwickelt, das die Logik des Angriffs enth\u00e4lt und es Administratoren erm\u00f6glicht, effizient zu untersuchen, zu bewerten und zu simulieren, wie die Technik in realen Umgebungen ausgenutzt werden kann. Die Tools stehen auf GitHub bereit und sind in diesem Semperis-Blog-Beitrag<\/a> verlinkt.<\/p>\n

\"Golden dMSA deckt einen kritischen Designfehler auf, der es Angreifern erm\u00f6glicht, Passw\u00f6rter f\u00fcr Service Accounts zu generieren und in Active Directory-Umgebungen unentdeckt zu bleiben\", erkl\u00e4rt Adi Malyanker. \"Ich habe ein Tool entwickelt, das Verteidigern und Researchern hilft, die Angriffsmechanismen besser zu verstehen. Unternehmen sollten ihre Systeme proaktiv bewerten, um dieser neuen Bedrohung einen Schritt voraus zu sein.\"<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nBadSuccessor: dMSA zur Privilegien-Erh\u00f6hung in Active Directory missbrauchen<\/a>
\nBadSuccessor: Nachlese zur dMSA AD-Privilegien-Erh\u00f6hungs-Problematik<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In Windows Server 2025 wurden delegated Managed Service Accounts (dMSA) neu eingef\u00fchrt. Deren Design erm\u00f6glicht schwerwiegende Angriffe auf Managed Service Accounts und Active Directory-Ressourcen. Semperis-Research hat nun mit Golden dMSA ein Tool entwickelt, das die Logik des Angriffs enth\u00e4lt und … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[6712,4328,8373],"class_list":["post-313646","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-active-directory","tag-sicherheit","tag-windows-server-2025"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313646","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313646"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313646\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313646"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313646"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313646"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}