Golden dMSA: Neue Sicherheitslücke gefährdet Windows-Server-Netzwerke

Schwachstelle erlaubt Umgehung der dMSA-Authentifizierung – Semperis warnt vor weitreichenden Folgen + In der kommenden Version von Windows Server 2025 wurde eine schwerwiegende Sicherheitslücke in den sogenannten delegierten verwalteten Dienstkonten (dMSA) entdeckt. Wie das auf Identity-Security spezialisierte Unternehmen Semperis berichtet, könnten Angreifer mithilfe dieser Schwachstelle Passwörter für sämtliche verwaltete Dienstkonten innerhalb einer Active-Directory-Gesamtstruktur generieren – und so potenziell eine dauerhafte Hintertür im Netzwerk etablieren.

Die sogenannte „Golden dMSA“-Lücke stellt eine neue Angriffsmöglichkeit dar, bei der die kryptografische Authentifizierung der dMSA-Konten umgangen werden kann. Betroffene Unternehmen laufen dadurch Gefahr, dass ihre sensiblen Anmeldedaten in großem Umfang gestohlen und langfristig missbraucht werden.

Wichtigste Erkenntnisse

• Adi Malyanker, Sicherheitsforscher bei Semperis, hat einen kritischen Konstruktionsfehler in delegierten Managed Service Accounts (dMSAs) entdeckt, die in Windows Server 2025 eingeführt wurden.
• Da dieser Fehler die Brute-Force-Generierung von Passwörtern erheblich vereinfacht, ist seine Ausnutzung relativ einfach.
• Der Golden-dMSA-Angriff ermöglicht es Angreifern, die Authentifizierung zu umgehen und Passwörter für alle dMSAs und gMSAs sowie die damit verbundenen Dienstkonten zu generieren.
• Die Erkennung von Golden-dMSA-Aktivitäten erfordert eine manuelle Protokollkonfiguration und -überwachung, was die Abwehr erschwert.
• Die Forscher von Semperis stufen diese Schwachstelle als MODERAT ein, da Angreifer für die Ausnutzung einen KDS-Root-Schlüssel benötigen, der nur den privilegiertesten Konten zur Verfügung steht: Root-Domänenadministratoren, Unternehmensadministratoren und SYSTEM.
• Dieser Angriff kann jedoch erhebliche Auswirkungen haben, da er domänenübergreifende laterale Bewegungen und den unbefristeten Zugriff auf alle verwalteten Dienstkonten und deren Ressourcen ermöglicht.

Microsoft Windows Server 2025 bietet bedeutende Sicherheitsinnovationen, darunter die Einführung von delegierten verwalteten Dienstkonten (dMSAs), die die Verwaltung von Dienstkonten revolutionieren sollen. Im Gegensatz zu statischen passwortbasierten Konten, die Opfer von Kerberoasting-Angriffen werden können, binden dMSAs die Authentifizierung direkt an autorisierte Computer in Active Directory (AD).

Dieser maschinenzentrierte Ansatz verhindert den Diebstahl von Anmeldedaten, indem die Authentifizierung an die Geräteidentität statt an vom Benutzer verwaltete Passwörter gebunden ist. Nur ausdrücklich autorisierte Computer können auf das dMSA zugreifen.

Was ist Golden dMSA?

Golden dMSA bezeichnet eine Angriffsmethode zur Aufrechterhaltung von Persistenz und zur Ausweitung von Berechtigungen in Active-Directory-Umgebungen. Angreifer können dabei Passwörter für sämtliche delegierte verwaltete Dienstkonten (dMSAs) sowie gruppierte Managed Service Accounts (gMSAs) generieren – ebenso wie für die damit verbundenen Dienstkonten.

Grundlage des Angriffs ist ein schwerwiegender Konstruktionsfehler: Die für die Passwortgenerierung eingesetzte Struktur enthält zeitbasierte Komponenten mit lediglich 1.024 möglichen Kombinationen. Dadurch wird das Brute-Forcing der Passwörter rechnerisch trivial.

Der Angriff eignet sich sowohl zur dauerhaften Verankerung im System (Persistenz) als auch zur Eskalation von Benutzerrechten. Laut Einschätzung von Semperis handelt es sich um ein mittleres Risiko, da der Angriff eine bereits teilweise kompromittierte Active-Directory-Gesamtstruktur voraussetzt.

Wie funktioniert ein Golden-dMSA-Angriff?

Sobald sich ein Angreifer erweiterte Rechte innerhalb einer Domäne verschafft hat, kann er dMSA- und gMSA-Konten gezielt kompromittieren – in einem Ablauf, der aus vier Phasen besteht:

Phase 1: Extraktion des KDS-Root-Schlüssels
Der erste Schritt besteht im Auslesen des kryptografischen Materials aus dem Root-Schlüssel des Key Distribution Services (KDS), der für die Passwortberechnung aller verwalteten Dienstkonten verantwortlich ist.

Phase 2: Auflisten von dMSA-Konten
In dieser Phase ermittelt der Angreifer mithilfe von Brute-Force-Techniken oder LDAP-Abfragen Informationen zu dMSA-Konten – etwa sAMAccountName-Attribute oder Sicherheitskennungen (SIDs). Ohne entsprechende Rechte in anderen Domänen ist dies jedoch eingeschränkt möglich.

Phase 3: Erraten der ManagedPasswordID
Anschließend versucht der Angreifer, durch gezieltes Raten die korrekte ManagedPasswordId und die zugehörigen Passwort-Hashes zu identifizieren.

Phase 4: Passwortgenerierung
Mit Tools wie GoldenDMSA lassen sich daraufhin gültige Passwörter für sämtliche dMSA- oder gMSA-Konten erzeugen, die auf dem kompromittierten KDS-Schlüssel basieren.

Sobald der KDS-Stammschlüssel einmal erlangt wurde, sind für die restlichen Schritte keine weiteren privilegierten Zugriffsrechte erforderlich – was diese Technik zu einer besonders effektiven Methode für langfristige Angriffe macht.

Der Golden-dMSA-Angriff unterstreicht die zentrale Rolle von Vertrauen und Schlüsselmanagement bei verwalteten Dienstkonten. Obwohl automatische Passwortrotation ein bewährter Schutzmechanismus ist, können privilegierte Rollen wie Domänenadministratoren, DnsAdmins oder Druckoperatoren diese Sicherheitsvorkehrungen vollständig umgehen – und damit sämtliche dMSAs und gMSAs innerhalb einer Gesamtstruktur kompromittieren.

Wie ein Golden-dMSA-Angriff die reguläre Authentifizierung aushebelt

In der offiziellen Dokumentation betont Microsoft: „Das Geheimnis von dMSA kann nur auf dem DC abgerufen oder gefunden werden.“ Damit verweist der Konzern auf einen entscheidenden Unterschied in den Authentifizierungsmechanismen von gMSA- und dMSA-Konten.

Während der Ablauf bei gMSAs relativ direkt verläuft – eine Entität authentifiziert sich und fordert daraufhin die Anmeldedaten vom gMSA-Konto an –, gestaltet sich der Prozess bei dMSAs grundlegend anders: Hier muss sich der Computer zunächst mit seiner eigenen Identität authentifizieren, um ein Ticket für das jeweilige dMSA-Konto zu erhalten. Das zugehörige Passwort verlässt dabei niemals den Domain Controller (DC), sondern dient ausschließlich zur Verschlüsselung des Tickets, das anschließend an den anfragenden Rechner zurückgesendet wird.

Um zu verhindern, dass Angreifer den Hash eines Computerkontos missbrauchen und damit ein Ticket anfordern, empfiehlt Microsoft den Einsatz von Credential Guard – eine Schutzmaßnahme, die Angriffe auf Anmeldeinformationen in der Regel zuverlässig blockiert.

Doch genau an dieser Stelle setzt der Golden-dMSA-Angriff an – und unterläuft die bestehenden Schutzmechanismen vollständig. Credential Guard greift hier nicht mehr. Der Angriff verlässt die bekannten Pfade der Authentifizierung und stellt damit eine neue Dimension der Bedrohung dar.

Normaler dMSA-Authentifizierungsablauf Quelle: Semperis

Anstatt den von Microsoft vorgesehenen Authentifizierungsablauf zu befolgen, werden die dMSA-Anmeldeinformationen direkt mithilfe des kryptografischen Angriffs verwendet. Das bedeutet:

• Keine Maschinenidentität erforderlich. Wir müssen den Hostcomputer nicht kompromittieren.
• Credential Guard wird irrelevant. Da wir keine Maschinenanmeldeinformationen stehlen, bietet dieser Schutz keinerlei Abwehr.

Verwendung von Golden dMSA zum Umgehen eines mit Credential Guard geschützten Servers Quelle: Semperis

Microsoft hat bestätigt, dass „ab dem Windows-Sicherheitsupdate vom April (KB5055523) die durch Credential Guard geschützten Computerkonten in Windows Server 2025 und Windows 11, Version 24H2, vorübergehend deaktiviert sind. Diese Funktion wurde aufgrund eines Problems mit der Rotation von Computerkennwörtern unter Verwendung von Kerberos deaktiviert. Die Funktion bleibt deaktiviert, bis eine dauerhafte Lösung verfügbar ist.“

Wie hoch ist das tatsächliche Risiko durch Golden dMSA?

Sobald ein Angreifer ein dMSA-Konto erfolgreich über die Golden-dMSA-Methode kompromittiert hat, beginnt der eigentliche Angriff erst. Dabei geht es nicht nur um den Zugriff auf ein einzelnes Dienstkonto, sondern um dessen gezielte Nutzung für weitreichende laterale Bewegungen im Netzwerk.

Die Technik ermöglicht es, Passwörter zu entschlüsseln und Berechtigungen für Dienstkonten zu erlangen – selbst für solche, deren Migration auf das kompromittierte dMSA bereits abgeschlossen oder noch im Gange ist.

Besonders kritisch ist dabei die Tatsache, dass der Angriff nicht an Domänengrenzen Halt macht. Er wirkt auf gesamter Forest-Ebene. Ist es einem Angreifer gelungen, den KDS-Stammschlüssel einer beliebigen Domäne innerhalb des Active-Directory-Waldes zu extrahieren, lassen sich systematisch alle dMSA-Konten in sämtlichen Domänen kompromittieren.

Die Folgen einer einzigen erfolgreichen Extraktion des KDS-Stammschlüssels sind gravierend:

• Domänenübergreifende Kompromittierung: Keine Domänengrenze bietet Schutz – alle Konten sind angreifbar.

• Waldweite Erfassung von Anmeldedaten: Jedes dMSA-Konto, unabhängig von der Domäne, ist gefährdet.

• Unbegrenzte laterale Bewegung: Mit kompromittierten Konten können sich Angreifer beliebig zwischen Domänen bewegen.

• Persistenter Zugriff: Da KDS-Schlüssel nicht automatisch ablaufen, kann der Zugriff dauerhaft bestehen bleiben.

Der Angriff skaliert schnell: Was mit der Kompromittierung eines einzelnen Domain Controllers beginnt, kann sich zur vollständigen Kontrolle aller dMSA-geschützten Dienste in einer gesamten Active-Directory-Waldstruktur ausweiten. Golden dMSA ist damit weit mehr als eine klassische Privilegieneskalation – es ist die vollständige digitale Dominanz über ein Unternehmen, ausgelöst durch eine einzige kryptografische Schwachstelle.

Dieser Inhalt dient ausschließlich zu Bildungs- und Informationszwecken. Er soll das Bewusstsein für Sicherheitslücken schärfen, die auf Systemen vorhanden sein können, die Ihnen gehören oder die Sie testen dürfen, und deren verantwortungsvolle Behebung fördern. Die unbefugte Nutzung dieser Informationen für böswillige Zwecke, zur Ausnutzung oder für unrechtmäßigen Zugriff ist strengstens untersagt. Semperis unterstützt oder duldet keine illegalen Aktivitäten und lehnt jede Haftung für den Missbrauch des Materials ab. Darüber hinaus übernimmt Semperis keine Gewähr für die Richtigkeit oder Vollständigkeit der Inhalte und haftet nicht für Schäden, die durch deren Verwendung entstehen. – Semperis

---