Windows Server 2025: Dienstkonten angreifbar
Mit Windows Server 2025 hat Microsoft eine neue Art von Servicekonten eingeführt: delegated Managed Service Accounts (dMSAs). Sie sollen Angriffe auf Passwörter ins Leere laufen lassen, indem sie die Authentifizierung fest an bestimmte Maschinen binden. Doch nun zeigt eine Sicherheitsanalyse einen gravierenden Schwachpunkt. Ein Angriff erlaubt es, die dMSA-Absicherung vollständig zu umgehen – mit Folgen für ganze Active-Directory-Forests.
Mit Windows Server 2025 führt Microsoft die "delegated Managed Service Accounts" (dMSAs) ein – Servicekonten, die ohne Passwörter auskommen und stattdessen maschinengebunden authentifizieren. Das Ziel: Angriffsflächen wie Kerberoasting eliminieren. Doch Forscher haben nun mit dem "Golden dMSA"-Angriff eine Schwachstelle entdeckt, die dieses Sicherheitsversprechen massiv untergräbt.
Brute Force statt Passwortdiebstahl
Der Angriff nutzt ein Designproblem in der Passwortgenerierung aus: Der sogenannte "ManagedPasswordId"-Vektor enthält vorhersehbare Zeitstempel-Komponenten mit nur 1024 Kombinationsmöglichkeiten. Wer den KDS-Root-Key eines Forests besitzt – was mit SYSTEM-Rechten auf einem beliebigen Domain Controller möglich ist –, kann damit sämtliche dMSAs und gMSAs des Forests offline entschlüsseln. Eine einzige Kompromittierung reicht also für dauerhafte Kontrolle über alle Servicekonten.
Besonders brisant: Der Golden dMSA-Angriff umgeht Schutzmechanismen wie Microsofts Credential Guard vollständig, da er nicht auf maschinenseitige Authentifizierung angewiesen ist. Selbst moderne Sicherheitsarchitekturen mit maschinengebundener Authentifizierung werden so ausgehebelt – und das forestweit. Der Angriff verwandelt einen lokal begrenzten Kompromiss in eine langanhaltende Hintertür auf Enterprise-Ebene.
Angriffswerkzeug frei verfügbar
Die Angreifer verwenden dafür ein speziell entwickeltes Tool namens GoldenDMSA, das KDS Root Keys ausliest, dMSAs enumeriert und anschließend mit vorberechneten Passwortkombinationen Tickets generiert. Dabei helfen sowohl RPC-basierte SID-Auflösungen als auch LDAP-Techniken. Besonders gefährlich: Viele Administratoren merken davon nichts – es sei denn, spezielle Audit-Regeln für KDS-Objekte wurden gesetzt.
Microsoft hat die Schwachstelle nicht als Fehler anerkannt, sondern verweist auf das Risiko kompromittierter Domain Controller. Semperis rät Admins daher, gezielt den Zugriff auf KDS Root Keys zu überwachen, insbesondere durch Event-ID 4662. Außerdem helfen neue Indikatoren in der Directory Services Protector (DSP)-Lösung, verdächtige Aktivitäten frühzeitig zu erkennen. Wer dMSAs nutzt oder plant, sollte den Angriffspfad "Golden dMSA" dringend berücksichtigen – und die eigene AD-Architektur entsprechend absichern.