BadSuccessor: Missbrauch von dMSA zur Eskalation von Berechtigungen in Active Directory

• Der Akamai-Forscher Yuval Gordon entdeckte eine Schwachstelle für den privilegierten Zugriff in Windows Server 2025, die es Angreifern ermöglicht, einen beliebigen Nutzer in Active Directory (AD) zu kompromittieren.

• Der Angriff nutzt die dMSA-Funktion (Delegated Managed Service Account) aus, die in Windows Server 2025 eingeführt wurde. Sie arbeitet mit der Standardkonfiguration und ist trivial zu implementieren.

• Dieses Problem betrifft wahrscheinlich die meisten Unternehmen, die auf AD setzen. In 91 % der untersuchten Umgebungen fanden wir Nutzer außerhalb der Domain-Admins-Gruppe, die über die erforderlichen Berechtigungen zur Durchführung dieses Angriffs verfügten.

• Obwohl Microsoft angibt, dass dieses Problem in Zukunft behoben werden soll, ist derzeit kein Patch verfügbar. Daher müssen Unternehmen andere proaktive Maßnahmen ergreifen, um die Gefahr eines solchen Angriffs zu verringern. Microsoft hat unsere Ergebnisse geprüft und die Veröffentlichung dieser Informationen genehmigt.

• In diesem Blogbeitrag finden Sie ausführliche Informationen zum Angriff sowie zu den Strategien zur Erkennung und Abwehr.

• Einführung

• Was ist ein dMSA?

• Die dMSA-Authentifizierung

• Ausnutzen des dMSA-Migrationsprozesses zur Erhöhung von Berechtigungen

• Es ist an der Zeit, wie ein Angreifer zu denken

• Wir stellen vor: BadSuccessor

• Ausnutzung von dMSAs: Von niedrigen Berechtigungen bis zur Domaindominierung

• Und das war noch nicht alles – Ausnutzen von dMSAs, um Anmeldedaten zu gefährden

• Die Antwort von Microsoft

• Erkennung und Abwehr

• Fazit

In Windows Server 2025 hat Microsoft „delegated Managed Service Accounts“ (dMSAs) eingeführt. Ein dMSA ist ein neuer Typ von Dienstkonto in Active Directory (AD), das die Funktionen von group Managed Service Accounts (gMSAs) erweitert. Eine wichtige Funktion von dMSAs ist die Möglichkeit, vorhandene nicht verwaltete Servicekonten durch nahtlose Konvertierung in dMSAs zu migrieren.

Während wir versucht haben, herauszufinden, wie die ADs von dMSAs funktionieren, haben wir etwas Unerwartetes herausgefunden. Auf den ersten Blick sah der Migrationsmechanismus wie eine saubere und gut konzipierte Lösung aus. Etwas an der Art und Weise, wie es hinter den Kulissen funktioniert hat, hat unsere Aufmerksamkeit erregt.

Bei unseren Nachforschungen fanden wir einen überraschenden Eskalationspfad: Durch den Missbrauch von dMSAs können Angreifer jeden Prinzipal in der Domain übernehmen. Alles, was ein Angreifer zum Ausführen dieses Angriffs benötigt, ist eine harmlose Berechtigung auf einer beliebigen Organisationseinheit (OE) in der Domain – eine Berechtigung, die oft unter dem Radar bleibt.

Und das Beste: Der Angriff funktioniert automatisch – Ihre Domain muss überhaupt keine dMSAs verwenden. Solange die Funktion vorhanden ist, die in einer beliebigen Domain mit mindestens einem Windows Server 2025-Domaincontroller (DC) ausgeführt wird, ist sie verfügbar.

In diesem Blogbeitrag erfahren Sie, wie wir das entdeckt haben, wie der Angriff funktioniert und was Sie tun können, um ihn zu erkennen oder zu verhindern. 

Bevor Sie sich mit den Angriffen vertraut machen, ist es wichtig zu verstehen, was dMSAs eigentlich sind und wie sie funktionieren sollen.

Ein dMSA wird in der Regel erstellt, um ein vorhandenes Legacy-Dienstkonto zu ersetzen. Um einen nahtlosen Übergang zu ermöglichen, kann ein dMSA die Berechtigungen des Legacy-Kontos durch Ausführen eines Migrationsprozesses übernehmen. Dieser Migrationsablauf verknüpft das dMSA eng mit dem ersetzten Konto, d. h. dem ursprünglichen Konto, das ersetzt werden soll. Dieser Ablauf – und die Berechtigungen, die er auf dem Weg gewährt – ist der Punkt, an dem die Dinge interessant werden.

Neben diesem Attribut werden während des Migrationsprozesses einige weitere wichtige Attribute verwendet. 

Auf dem dMSA-Objekt:

• msDS-GroupMSAMembership: Enthält eine Liste der Prinzipals, die zur Verwendung dieses dMSA autorisiert sind

• msDS-ManagedAccountPrecededByLink: DN des ersetzten Kontos

Auf dem ersetzten Kontoobjekt:

• msDS-SupersededManagedAccountLink: DN des „nachfolgenden“ dMSA

• msDS-SupersededServiceAccountState: Hat dieselbe Bedeutung wie msDS-DelegatedMSAState und beschreibt den ursprünglichen Migrationsstatus des Kontos

Beim Auslösen einer Migration nimmt der Vorgang die folgenden Änderungen vor:

• msDS-DelegatedMSAState wird auf 1 eingestellt (Migration läuft)

• Der ntSecurityDescriptor des dMSA wird aktualisiert, damit er das ersetzte Konto zulässt:

  • Leseberechtigungen 

  • Schreibzugriff auf das msDS-GroupMSAMembership-Attribut

• Der msDS-ManagedAccountPrecededByLink wird so eingestellt, dass er auf das ersetzte Konto verweist

• Der msDS-SupersededManagedAccountLink wird so eingestellt, dass er auf das dMSA verweist

• Setzt den msDS-SupersededServiceAccountState des ersetzten Kontos auf 1.

Zu diesem Zeitpunkt befindet sich das dMSA im Status „Migration läuft“. Es ist noch nicht voll funktionstüchtig, aber es ist jetzt bekannt, welche Systeme noch das alte Dienstkonto verwenden.

Sobald der Befehl Complete-ADServiceAccountMigration ausgegeben wurde, geschieht Folgendes:

• Das dMSA übernimmt Schlüsselkonfigurationen wie SPNs, Delegationseinstellungen und andere vertrauliche Attribute aus dem überholten Konto.

• Das ersetzte Konto ist deaktiviert

• msDS-DelegatedMSAState und msDS-SupersededServiceAccountState werden beide auf 2 eingestellt (Migration abgeschlossen)

Die Migration ist abgeschlossen und jeder Dienst, der sich auf das ersetzte Konto verlassen hat, verwendet jetzt die dMSA zur Authentifizierung.

Jetzt, da wir die Erstellung und Migration von dMSAs verstehen, ist es an der Zeit, uns auf die Funktionsweise der Authentifizierung, die Änderungen zur Unterstützung von dMSAs zu konzentrieren und wie diese Änderungen den Migrationsprozess nahtlos gestalten.

Zum leichteren Verständnis sehen wir uns das Dienstkonto svc_sql legacy an, mit dem ein Dienst auf dem SQL_SRV$-Server ausgeführt wird. Wenn der Dienst für den Zugriff auf Ressourcen in der Domain erforderlich ist, wird die normale Authentifizierung mit dem svc_sql-Konto durchgeführt (Abbildung 1).

Jetzt wechseln wir das Dienstkonto zu einer neuen dMSA namens DMSA$ und lösen eine Migration aus. Wenn der Service auf SQL_SRV$ während des Migrationszeitraums als svc_sql authentifiziert wird, führt das zu einer geringfügigen Änderung im Authentifizierungsablauf.

1. Der Client sendet AS-REQ zur Authentifizierung als svc_sql

2. Das Key Distribution Center (KDC) gibt AS-REP mit einem zusätzlichen Feld aus: KERB-SUPERSEDED-BY-USER (dieses Feld enthält den Namen und die Realm der neuen dMSA DMSA$)

3. Wenn der Host dMSAs (Windows Server 2025 oder Windows 11 24H2) unterstützt und die dMSA-Authentifizierung aktiviert ist, wird er:

   • Den DMSA$-Namen extrahieren

   • Eine LDAP-Abfrage für DMSA$ durchführen, um die folgenden Attribute abzurufen:

     • msDS-GroupMSAMembership

     • distinguishedName

     • objectClass

4. Da der Service auf SQL_SRV$als svc_sql ausgeführt wird, löst die Authentifizierung selbst von svc_sql eine LDAP-Änderungsanfrage aus, wodurch SQL_SRV$ der Liste der Prinzipals hinzugefügt wird, die das Passwort des DMSA$ abrufen dürfen (Abbildung 2).

   • Das ist möglich, weil svc_sql während des Migrationsprozesses Schreibzugriff auf das Attribut msDS-GroupMSAMembership auf dem dMSA erhalten hat – durch diese Änderung kann es seinen Hostrechner autorisieren, auf die Zugangsdaten des Kontos zuzugreifen. 

Diese nahtlose Berechtigungserteilung stellt sicher, dass zum Zeitpunkt der Migration jeder Computer, der zuvor svc_sql verwendet hat, im Attribut msDS-GroupMSAMembership von DMSA$ aufgeführt wird, sodass er sich als dMSA authentifizieren kann.

Sobald die Migration abgeschlossen ist (durch Complete-ADServiceAccountMigration), ändert sich das Verhalten erneut.

1. Wenn der Client versucht, sich als svc_sql zu authentifizieren, indem er AS-REQ sendet, erhält er kein AS-REP mehr

2. Stattdessen antwortet das DC mit KRB-ERROR. Das deutet darauf hin, dass svc_sql deaktiviert ist

Der Fehler KRB-ERROR enthält das Feld KERB-SUPERSEDED-BY-USER, durch das der Client erkennen kann, dass svc_sql migriert wurde, und die Authentifizierung mit DMSA$ automatisch wiederholen kann (Abbildung 3).

SQL_SRV$ und alle anderen Computer, die zuvor svc_sql verwendet haben, werden nun transparent auf DMSA$ umgestellt.

Nach der Migration gewährt das KDC dem dMSA alle Berechtigungen des ursprünglichen (ersetzten) Kontos.

Das ist aus Designperspektive sinnvoll. Das Ziel ist, ein nahtloses Migrationserlebnis zu bieten, bei der sich das neue Konto genauso verhält wie das ersetzte – dieselben SPNs, dieselben Weiterleitungen, dieselben Gruppenmitgliedschaften.

Aber aus der Sicht eines Sicherheitsforschers fällt dieses Verhalten sofort auf. Als wir ein System sahen, das automatisch Berechtigungen von einem Konto auf ein anderes kopiert, ohne dass eine manuelle Neukonfiguration erforderlich war, haben wir weitergeforscht:  Wie entscheidet es, von welchem Konto kopiert werden soll? Kann das beeinflusst werden? Kann es ausgenutzt werden?

Dies führte uns direkt zu einer wichtigen Erkenntnis. Dieses interessante Verhalten der PAC-Übernahme scheint durch ein einziges Attribut gesteuert zu werden: msDS-ManagedAccountPrecededByLink.

Das KDC verwendet dieses Attribut, um zu bestimmen, wer das dMSA „ersetzt“ – wenn ein dMSA authentifiziert wird, wird das PAC ausschließlich auf Grundlage dieser Verknüpfung erstellt.

Weiter zu unserem nächsten Ansatz. Natürlich brauchen wir etwas Komplexes, Kreatives und tiefgreifend Technisches. Wir müssen mehr über nicht dokumentierte Verhaltensweisen erfahren, vielleicht sogar einen Teil des KDC modifizieren ... oder wir könnten einfach zwei Attribute festlegen.

Obwohl wir eine Migration nicht direkt durchführen können, können wir sie sehr einfach „simulieren“, indem wir einfach die folgenden Attribute direkt auf das dMSA-Objekt setzen.

• Wir legen die DN des Zielkontos auf msDS-ManagedAccountPrecedByLink fest

• Setzen von msDS-DelegatedMSAState auf Wert 2 (Migration abgeschlossen)

Ab diesem Zeitpunkt erstellt das KDC jedes Mal, wenn wir als dMSA authentifiziert werden, das PAC mithilfe der SIDs des verlinkten Kontos, im Attribut msDS-ManagedAccountPrecededByLink und gibt uns so die vollständigen Berechtigungen des ersetzten Kontos.

An dieser Stelle denken Sie vielleicht: „Nun, ich verwende keine dMSAs in meiner Umgebung, das betrifft mich also nicht.“ Da liegen Sie möglicherweise falsch.

Ein mögliches Missbrauchsszenario: Ein Angreifer erhält die Kontrolle über ein bestehendes dMSA und nutzt diesen Zugriff, um den BadSuccessor-Angriff durchzuführen. Es gibt jedoch ein anderes Szenario, das Angreifern wahrscheinlich viel häufiger zur Verfügung steht: Ein Angreifer erstellt ein neues dMSA.

Wenn ein Anwender ein Objekt in AD erstellt, hat er volle Berechtigungen für alle seine Attribute. Wenn ein Angreifer also ein neues dMSA erstellen kann, kann er die gesamte Domain kompromittieren. 

Normalerweise wird ein dMSA, die mit dem Cmdlet New-ADServiceAccount erstellt wird, im Container „Managed Service Accounts“ gespeichert. Obwohl es Nutzern möglich ist, Zugriff auf diesen Container zu erhalten, haben standardmäßig nur integrierte privilegierte Active-Directory-Gruppen Berechtigungen dafür. Es ist also nicht sehr wahrscheinlich, dass wir in diesen Container schreiben können.

dMSAs sind jedoch nicht auf den Container „Managed Service Accounts“ beschränkt, sie können auch in jeder normalen Organisationseinheit (OE) angelegt werden. Jeder Nutzer mit der Berechtigung „msDS-DelegatedManagedServiceAccount erstellen“ oder „Alle untergeordneten Objekte erstellen“ auf einer beliebigen OE kann ein dMSA erstellen.

Die Möglichkeit, dass Anwender Objekte in einer OE anlegen, ist eine relativ gängige Konfiguration. Da diese Fähigkeit als harmlos angesehen wird, ist es unwahrscheinlich, dass Nutzer mit dieser Berechtigung überwacht und angemessen gehärtet werden.

Um das dMSA zu erstellen, suchen wir zunächst nach einer OE, auf der wir Berechtigungen haben. Glücklicherweise hat jemand in unserer Beispielumgebung eine OE namens „temp“ erstellt und unserem unberechtigten Nutzer mit der „schwachen“ Berechtigungen ausgestattet, alle untergeordneten Objekte zu erstellen (Abbildung 6).

Wie bereits erwähnt, scheint dieser Angriff bei allen Konten in AD zu funktionieren. Wir konnten keine Konfiguration finden, die verhindert, dass ein Konto als ersetztes Ziel verwendet wird.

Eine Möglichkeit, sich bei unserem dMSA zu authentifizieren, besteht darin, einen Dienst zu erstellen und ihn so zu konfigurieren, dass er mit dem dMSA-Konto ausgeführt wird. Das ist machbar, aber nicht bequem. Glücklicherweise unterstützt Rubeus dank einer großartigen Pull-Anfrage von Joe Dibley nun die dMSA-Authentifizierung (Abbildung 9), sodass wir damit ein TGT für unser dMSA anfordern können:

Rubeus.exe asktgs /targetuser:attacker_dmsa$ /service:krbtgt/aka.test /dmsa /opsec /nowrap /ptt /ticket:<Machine TGT>

In diesem Beispiel haben wir das integrierte Administratorkonto als Ziel festgelegt. Wir haben das PAC des Tickets, das wir für unser dMSA erhalten haben, mit Wireshark untersucht (Abbildung 10) und es umfasste Folgendes:

• RID des dMSA (1137)

• RID des ersetzten Kontos (500 – Administrator)

• Alle Gruppenmitgliedschaften des ersetzten Kontos (512 – Domain-Admins, 519 – Unternehmens-Admins)

Das ist alles, was der Domaincontroller braucht, um uns als legitimen Nachfolger zu behandeln. Denken Sie immer daran: Es sind keine Änderungen der Gruppenmitgliedschaften, die Gruppe Domain Admins bleibt unberührt und es sind keine verdächtigen LDAP-Schreibvorgänge auf dem tatsächlich privilegierte Konto erforderlich.

Mit Änderungen an nur zwei Attributen wird ein einfaches neues Objekt zum Nachfolger – und das KDC validiert die Legitimität des Vorgänger-Links nicht. Wenn er vorhanden ist, werden die Privilegien gewährt. Wir haben nicht eine Gruppenmitgliedschaft geändert, kein bestehendes Konto aufgewertet und keine Warnung vor einer Erweiterung der herkömmlichen Privilegien ausgelöst. 

Demonstration: Missbrauchs von dMSA zur Erweiterung von Berechtigungen in Active Directory

Und dieser Schlüssel hier? Die jahrelange Verwendung dasselbe Passwort in Laborumgebungen macht sich endlich bezahlt.  Wir haben ihn sofort erkannt. Es war der Schlüssel zu Aa123456 – dem Passwort, das wir für unser Zielkonto während der Demonstration verwendet haben.

Stellen Sie sich das vor: Der Schlüssel für ein separates Konto endete irgendwie in der Struktur vorherige Schlüssel des dMSA.

Die Antwort liegt in den Verschlüsselungstypen, die vom ursprünglichen (ersetzten) Konto unterstützt werden. Servicetickets werden nur mit Verschlüsselungstypen verschlüsselt, die der Zielservice unterstützt. Wie im hervorragenden Blogbeitrag von Harmj0y erläutert, steuert das Attribut msDS-SupportedEncryptionTypes dieses Verhalten. Wenn dieses Attribut nicht definiert ist (wie es standardmäßig der Fall ist für Nutzerkonten), verwendet das System standardmäßig nur RC4-HMAC. Daher existiert in previous-keys nur ein RC4-HMAC-Schlüssel.

Mit anderen Worten: Das KDC gibt dem dMSA nur die Schlüssel aus dem ursprünglichen Konto, die erforderlich wären, um vor der Migration ausgestellte Servicetickets zu entschlüsseln. Diese werden basierend auf den Verschlüsselungstypen bestimmt, die vom ursprünglichen Prinzipal unterstützt werden. Sie können dies überprüfen, indem Sie das Attribut msDS-SupportedEncryptionTypes überprüfen.

Wir haben diese Details über MSRC am 1. April 2025 an Microsoft gemeldet. Nach der Prüfung unseres Berichts und des Proof of Concept bestätigte Microsoft das Problem und seine Gültigkeit. Sie beurteilten es jedoch als eine Schwachstelle mit mittlerem Schweregrad und gaben an, dass sie derzeit nicht den Schwellenwert für sofortige Behebung erreicht.

Laut Microsoft erfordert eine erfolgreiche Ausnutzung, dass der Angreifer bereits spezifische Berechtigungen für das dMSA-Objekt hat. Dies weist auf erhöhte Berechtigungen hin. Als Reaktion auf das Szenario der Erstellung eines neuen dMSA verweist Microsoft auf KB5008383, in dem die Risiken im Zusammenhang mit der Berechtigung CreateChild erläutert werden.

Obwohl wir die Antwort von Microsoft schätzen, müssen wir der Einschätzung des Schweregrads respektvoll widersprechen.

Diese Schwachstelle führt zu einer bisher unbekannten und wirkungsstarken Möglichkeit für einen Missbrauch, die es jedem Nutzer mit CreateChild-Berechtigungen auf einer OE ermöglicht, einen beliebigen Nutzer in der Domain zu kompromittieren und die gleiche zu erhalten wie die Berechtigung zur Replikation von Verzeichnisänderungen, die für DCSync-Angriffe verwendet wird.

Darüber hinaus haben wir keinen Hinweis darauf gefunden, dass aktuelle Branchenpraktiken oder Tools den Zugriff auf CreateChild – oder genauer gesagt auf CreateChild für dMSAs – als kritisches Problem kennzeichnen. Wir glauben, dass dies sowohl die Tarnung als auch die Schwere des Problems unterstreicht.

Berechtigungen überprüfen – Achten Sie besonders auf Berechtigungen für OEs und Container. Weiterleitungen mit unmäßig vielen Berechtigungen können Missbrauch begünstigen.

Bis ein formaler Patch von Microsoft veröffentlicht wird, sollten Abwehrmaßnahmen darauf ausgerichtet sein, die Fähigkeit zur Erstellung von dMSAs zu begrenzen und die Berechtigungen nach Möglichkeit zu verschärfen.

Abwehrspezialisten sollten alle Prinzipals (Nutzer, Gruppen, Computer) mit Berechtigungen zum Erstellen von dMSAs in der Domain identifizieren und diese Berechtigung nur auf vertrauenswürdige Administratoren beschränken.
Zu diesem Zweck haben wir ein PowerShell-Skript veröffentlicht, das:

• Alle nicht standardmäßigen Prinzipals aufgelistet sind, die dMSAs erstellen können

• Die OEs auflistet, in denen jeder Prinzipal diese Berechtigung hat

Microsoft hat uns darüber informiert, dass seine technischen Teams an einem Patch arbeiten, und wir werden die Hinweise zur Risikominderung in diesem Blogbeitrag aktualisieren, sobald weitere technische Details verfügbar sind.