Mit der Veröffentlichung von Windows Server 2025 führte Microsoft mehrere Neuerungen an seinem Active Directory (AD) System ein, um die Sicherheit und Verwaltung von Service-Konten zu verbessern. Unter diesen Neuerungen sticht die Funktion Delegierte Managed Service Accounts (dMSA) hervor, die als Maßnahme gedacht war, um Risiken wie Kerberoasting zu minimieren. Doch paradoxerweise hat genau diese Funktion eine kritische Sicherheitslücke geschaffen, die als BadSuccessor bekannt wurde und erhebliche Bedrohungen für Unternehmen weltweit mit sich bringt. Der Sicherheitsforscher Yuval Gordon von Akamai entdeckte einen Privilegien-Eskalationsfehler, der es Angreifern ermöglicht, praktisch jeden Benutzer in Active Directory zu kompromittieren, einschließlich hochprivilegierter Administratoren. Dieser Befund wirft ein alarmierendes Licht auf die potenziellen Risiken neuer Convenience-Features und zeigt, wie sorgfältig solche Neuerungen geprüft und überwacht werden müssen.
Die Angriffsvektoren basieren auf einer Schwäche im Kerberos-Authentifizierungsmechanismus während der dMSA-Migration, bei der die Privilege Attribute Certificate (PAC) eines Ticket Granting Tickets (TGT) sowohl die Sicherheitskennungen (SIDs) des dMSA als auch der ursprünglichen, durch den dMSA ersetzten Service Accounts und deren Gruppen enthält. Diese Übertragung von Rechten kann von Angreifern ausgenutzt werden, um in einem komplexen Simulationsprozess der dMSA-Migration umfangreiche Zugriffsrechte zu erlangen. Was die Technik besonders gefährlich macht, ist die Tatsache, dass ein Angreifer keine Rechte auf das ursprüngliche Service Konto benötigt, sondern lediglich Berechtigungen zum Schreiben bestimmter Attribute an einem dMSA-Objekt. Solange ein Angreifer über diese eingeschränkten Rechte verfügt, kann die Kerberos-Schlüsselverteilungszentrale (KDC) die Migration als legitim ansehen und dem dMSA-Konto sämtliche Rechte dieses Kontos zuweisen. Die häufige Verwendung von dMSA-Implementierungen in Standardkonfigurationen unter Windows Server 2025 erschwert die Situation zusätzlich, da in einer Analyse von 91 Prozent der untersuchten Active Directory-Umgebungen Nutzer außerhalb der Domain-Administratoren-Gruppe Zugriff auf diese notwendigen Schreibrechte hatten.
Hierdurch wird die Angriffsfläche in Unternehmen erheblich vergrößert und eine Kompromittierung kann auch ohne direkte Administratorrechte erfolgen. Microsoft hat die Schwachstelle nach Meldung durch Akamai am 1. April 2025 als mäßig eingestuft und weist darauf hin, dass eine erfolgreiche Ausnutzung voraussetzt, dass Angreifer bereits über eine gewisse Kontrolle innerhalb der Umgebung verfügen. Daher gilt die Lücke als kein unmittelbarer Notfall, doch ein Patch ist in Arbeit und wird voraussichtlich die Sicherheitslücke schließen. Bis dahin bleiben Unternehmen jedoch einem hohen Risiko ausgesetzt, besonders wenn sie ihre Berechtigungen im Active Directory nicht sorgfältig härteten.
Ein wesentlicher Schritt zur Risikominderung besteht darin, die Fähigkeit zum Erstellen und Verwalten von dMSA-Konten streng zu kontrollieren und entstehen Rechte auf die Erstellung von Kind-Objekten innerhalb von Organisationseinheiten (OUs) zu beschränken. Akamai hat zudem ein PowerShell-Skript bereitgestellt, mit dem sich bestehende Berechtigungen auditieren und potenziell gefährliche Konfigurationen identifizieren lassen. Die technischen Details der BadSuccessor-Technik zeigen auch auf, wie gefährlich scheinbar gut gemeinte Features sein können, wenn sie unbeabsichtigte Zugriffswege bieten. Der zweite Proof-of-Concept-Exploit „SharpSuccessor“, wie vom Sicherheitsforscher Logan Goins entwickelt, baut auf dem ursprünglichen Konzept auf und automatisiert in .NET eine versteckte Privilegienausweitung, die mit geringen Berechtigungen einen vollumfänglichen Administratorzugang ermöglicht.
Dies unterstreicht die Dringlichkeit, innerhalb von Active Directory sämtliche Zugriffsrechte detailliert zu prüfen und im Sinne eines Zero-Trust-Ansatzes nur die absolut notwendigen Rechte zu vergeben. Kerberos-basierte Authentifizierungsmechanismen sind das Rückgrat von Windows-Domänen und werden von nahezu allen großen Unternehmen genutzt. Eine Schwachstelle wie BadSuccessor schlägt daher Brücken zwischen unterschiedlichen Sicherheitskomponenten und bietet Angreifern zusammen mit anderen Techniken wie DCSync zusätzliche Möglichkeiten, Identitäts- und Zugriffsrichtlinien zu umgehen. Unternehmen, die Windows Server 2025 mit der dMSA-Funktion einsetzen, sind somit besonders gefordert, ihre Netzwerkzugriffe kritisch zu überwachen und Einschränkungen konsequent umzusetzen. Auch wenn Microsoft derzeit an einem Update arbeitet, sollten Sicherheitsverantwortliche sofort handeln und ein umfassendes Sicherheitsaudit durchführen.
Dabei muss der Fokus nicht nur auf der reinen Erkennung von dMSA-Berechtigungen liegen, sondern auch auf der Kontrolle von Erstellungsberechtigungen für Kinderobjekte in den jeweiligen OU-Strukturen. Unachtsamkeit kann dazu führen, dass ein scheinbar harmloser Standardbenutzer mit minimalen Rechten über das AD-System steigt und die komplette Domäne kompromittiert. Die Sicherheitsforscher betonen zudem, dass Administratoren auch prüfen sollten, ob legacy Service Accounts noch aktiv sind, die von dMSA ersetzt wurden, und wie die Zugriffsrechte zwischen Altkonten und neuen dMSA-Konten verteilt sind. Durch eine klare Trennung und Nachverfolgung dieser Account-Migrationen lässt sich die Angriffsfläche deutlich reduzieren. Im weiteren Kontext verdeutlicht die Entdeckung von BadSuccessor die Notwendigkeit von kontinuierlicher Sicherheitsforschung und Zusammenarbeit zwischen Unternehmen, Sicherheitsfirmen und Herstellern.
Erst durch genaue Analysen und frühzeitige Meldungen können neue Bedrohungen rechtzeitig erkannt und adressiert werden. Zusätzlich zeigen die Vorfälle, dass Sicherheitsfeatures, die zur Vorbeugung bestimmter Angriffe entwickelt wurden, unbeabsichtigte neue Angriffsflächen schaffen können. Die Herausforderung liegt folglich nicht nur in der Implementierung neuer Schutzmechanismen, sondern auch in deren nachhaltiger Überprüfung und Absicherung. Unternehmen sollten daher Active Directory Sicherheitsrichtlinien regelmäßig aktualisieren, umfassende Transparenz über Zugriffsrechte schaffen und ein Monitoring zur Erkennung ungewöhnlicher Authentifizierungsversuche implementieren. Connected Security-Lösungen sowie Zugriffskontrollen nach dem Prinzip der geringsten Privilegien helfen ebenfalls, die möglichen Auswirkungen von Exploits wie BadSuccessor zu minimieren.
Zusammenfassend ist die kritische Schwachstelle bei der dMSA-Funktion von Windows Server 2025 ein klarer Weckruf für Organisationen, ihre Infrastruktur nicht auf voreilige Komfortfunktionen zu stützen, sondern stets den Sicherheitsaspekt in den Vordergrund zu stellen. Auch wenn der Softwarehersteller derzeit an einem Patch arbeitet, bleibt der sicherste Umgang mit dMSAs die konsequente Berechtigungsbegrenzung und ständige Überwachung. Nur so lässt sich verhindern, dass Angreifer durch ausgeklügelte Simulationsprozesse ganze Active Directory-Umgebungen kompromittieren und damit Zugriff auf sensibelste Unternehmensdaten erlangen. Angesichts zunehmender Cyberbedrohungen ist es essenziell, stets über aktuelle Sicherheitslücken informiert zu sein und proaktiv Schutzmaßnahmen zu ergreifen – damit Domänenadministratoren in ihren Windows Server Umgebungen das Heft des Handelns behalten können.
