Windows Server 2025: Active Directory in Gefahr
Sicherheitsforscher von Akamai haben eine schwerwiegende Privilege-Escalation-Schwachstelle in Windows Server 2025 entdeckt, die es Angreifern ermöglicht, beliebige Benutzer im Active Directory zu kompromittieren. Die als "BadSuccessor" bezeichnete Attacke nutzt das neue dMSA-Feature aus und funktioniert bereits in der Standardkonfiguration.
Windows Server 2025 führt sogenannte delegated Managed Service Accounts (dMSAs) ein, eine Weiterentwicklung der group Managed Service Accounts (gMSAs). Diese neue Funktion soll die Migration bestehender Service-Konten vereinfachen, indem sie eine nahtlose Konvertierung zu verwalteten Konten ermöglicht. Die Sicherheitsexperten von Akamai entdeckten jedoch, dass der Migrationsmechanismus eine kritische Schwachstelle enthält, die auch dann ausnutzbar ist, wenn eine Organisation keine dMSAs aktiv verwendet.
Der Angriff basiert laut Akamai auf der Manipulation zweier Active-Directory-Attribute: "msDS-ManagedAccountPrecededByLink" und "msDS-DelegatedMSAState". Angreifer können durch das Setzen dieser Attribute eine abgeschlossene Migration simulieren, ohne tatsächlich Berechtigungen über das Zielkonto zu benötigen. Sobald ein dMSA als "Nachfolger" eines privilegierten Kontos markiert wird, übernimmt der Key Distribution Center (KDC) automatisch alle Berechtigungen des ursprünglichen Kontos in das Privilege Attribute Certificate (PAC) des dMSAs.
Angriffsszenario und praktische Umsetzung
Für eine erfolgreiche Attacke benötigen Angreifer lediglich die Berechtigung zur Erstellung von dMSAs in einer beliebigen Organizational Unit (OU). Diese scheinbar harmlose Berechtigung ist in 91 Prozent der untersuchten Umgebungen verfügbar und wird oft an Benutzer außerhalb der Domain-Administratoren-Gruppe vergeben. Nach der Erstellung eines dMSAs können Angreifer durch Manipulation der genannten Attribute Domain-Administrator-Rechte erlangen und sogar die Anmeldedaten kompromittierter Konten extrahieren, da das KERB-DMSA-KEY-PACKAGE-Struktur die Schlüssel des ursprünglichen Kontos enthält.
Microsoft hat die Schwachstelle nach der Meldung durch Akamai im April 2025 bestätigt, stuft sie jedoch nur als "moderat" ein. Das Unternehmen argumentiert, dass erfolgreiche Angriffe bereits erhöhte Berechtigungen voraussetzen. Die Akamai-Forscher widersprechen dieser Einschätzung und betonen, dass die CreateChild-Berechtigung für OUs von aktuellen Sicherheitstools nicht als kritisches Risiko erkannt wird. Ein offizieller Patch ist derzeit nicht verfügbar, Microsoft plant jedoch eine zukünftige Behebung.
Erkennungs- und Schutzmaßnahmen
Bis zur Verfügbarkeit eines offiziellen Patches empfehlen die Sicherheitsexperten mehrere Schutzmaßnahmen. Organisationen sollten die Erstellung neuer "msDS-DelegatedManagedServiceAccount"-Objekte über Event ID 5137 überwachen und Änderungen am "msDS-ManagedAccountPrecededByLink"-Attribut durch Event ID 5136 protokollieren. Zusätzlich sollten dMSA-Authentifizierungen über Event ID 2946 im Directory-Service-Log verfolgt werden. Akamai hat ein PowerShell-Skript veröffentlicht, das alle Principals identifiziert, die berechtigt sind, dMSAs zu erstellen.
Die Entdeckung verdeutlicht, wie scheinbar harmlose Berechtigungen in Active Directory-Umgebungen zu kritischen Sicherheitslücken führen können. Die Forscher betonen, dass Organisationen die Berechtigung zur Erstellung und Verwaltung von dMSAs mit derselben Vorsicht behandeln sollten wie andere sensible Active-Directory-Operationen. Da die meisten Organisationen auf das Active Directory angewiesen sind, könnte diese Schwachstelle weitreichende Auswirkungen auf die IT-Sicherheit von Unternehmen haben, auch wenn sie das neue dMSA-Feature nicht aktiv nutzen.