Windows Server 2025: Neue „Ouroboros“-Attacke umgeht Sicherheitsmechanismen

Die am 4. Mai 2026 vorgestellte Technik namens „Ouroboros“ zielt auf die delegierten Managed Service Accounts (dMSA) ab – ein Sicherheitsfeature, das eigentlich statische Passwörter überflüssig machen sollte.

Die Attacke nutzt die legitime Funktionsweise von Active Directory gegen sich selbst. Selbst vollständig gepatchte Systeme bleiben anfällig, warnen die Experten der Sicherheitsfirma Huntress. Das Problem: Die Entdeckung kommt zu einem Zeitpunkt, da Administratoren bereits mit Stabilitätsproblemen des Local Security Authority Subsystem Service (LSASS) kämpfen.

Angesichts der rasanten Entwicklung neuer Angriffstechniken wie Ouroboros ist ein proaktiver Schutz der Unternehmens-IT wichtiger denn je. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und technischen Bedrohungen Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report sichern

Die Ouroboros-Methode im Detail

dMSA wurde als Kernstück der Sicherheitsarchitektur von Windows Server 2025 eingeführt. Anders als herkömmliche Konten, die etwa durch „Kerberoasting“ gefährdet sind, sollten dMSAs direkte Passwort-Extraktionen aus dem Verzeichnis verhindern. Die Ouroboros-Technik umgeht diesen Schutz jedoch durch Manipulation der delegierten Berechtigungen.

Der Angriff ermöglicht eine selbsterhaltende Extraktion von Zugangsdaten – und das mit lediglich standardmäßigen delegierten Rechten. Entscheidend ist die Fähigkeit eines Nutzers, die bidirektionalen Verknüpfungen zu manipulieren, die der Key Distribution Center (KDC) vor der Ausstellung von Berechtigungsnachweisen benötigt.

Microsoft hatte zwar bereits einen Patch für eine ähnliche Schwachstelle (CVE-2025-53779, genannt „BadSuccessor“) veröffentlicht. Doch Ouroboros zeigt: Nutzer mit niedrigen Berechtigungen können weiterhin legitime bidirektionale Links erstellen, um den Angriff auszuführen.

Besonders tückisch: Die Attacke imitiert den normalen dMSA-Migrationsprozess. Indem ein Angreifer ein dMSA als von einem bestimmten Nutzer abhängig markiert, kann er den KDC dazu bringen, Berechtigungen mit den Sicherheitskennungen (SIDs) des Zielkontos auszustellen. Einmal erlangte delegierte Rechte reichen aus – die eigentliche Extraktion läuft dann oft völlig unbeaufsichtigt.

LSASS unter Beschuss

Die Enthüllung der Ouroboros-Technik fällt mit Berichten über aktive Angriffe auf Windows-Server-Identitätskomponenten zusammen. Eine als Shadow-Earth-053 identifizierte Gruppe hat es auf Regierungsnetzwerke und kritische Infrastrukturen abgesehen. Die Angreifer nutzen eine modifizierte Version von Microsofts „create-dump“-Dienstprogramm, die sie „Evil-CreateDump“ nennen.

Damit extrahieren sie Zugangsdaten direkt aus dem LSASS-Speicher. Zusätzlich setzen die Angreifer ein Werkzeug namens „newdcsync“ ein, um Domain-Controller-Anmeldedaten zu erbeuten. Die Botschaft ist klar: Kriminelle haben die Sicherheitsarchitektur von Windows Server 2025 fest im Visier.

Hinzu kommen Stabilitätsprobleme. Ende April 2026 bestätigte Microsoft einen kritischen Fehler (KB5082063), der Domain-Controller in wiederholte Neustart-Schleifen schickte. Die Abstürze hingen mit LSASS-Fehlern beim Systemstart zusammen – besonders in Umgebungen mit Privileged Access Management (PAM). Für IT-Teams bedeutete das: Während sie Sicherheitsupdates einspielen wollten, zwangen die Ausfallzeiten viele Organisationen dazu, wichtige Richtlinienänderungen zu stoppen oder zurückzurollen.

Die Evolution der dMSA-Schwachstellen

Ouroboros ist der jüngste in einer Reihe von Angriffen auf das Identitätsmodell von Windows Server 2025. Bereits im Juli 2025 hatten Forscher von Semperis den „Golden dMSA“-Angriff vorgestellt. Damals ging es um einen kryptografischen Fehler in der ManagedPasswordId-Struktur, die zeitbasierte Komponenten enthielt. Die Folge: Statt einer komplexen Verschlüsselung gab es nur 1.024 mögliche Kombinationen – brute-force in wenigen Minuten möglich.

Der Golden-dMSA-Angriff zeigte: Wer im Besitz eines KDS-Root-Keys ist, kann gültige Zugangsdaten für jedes dMSA im gesamten Active-Directory-Verbund erstellen. Da diese Root-Keys kein Verfallsdatum haben, ermöglicht das einen nahezu unbegrenzten Dauerzugriff.

Microsofts Reaktion fiel verhalten aus: dMSAs seien nie dafür ausgelegt gewesen, vor einer vollständigen Kompromittierung eines Domain-Controllers zu schützen. Andere Behörden sehen das anders: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertete die dMSA-Schwachstellen im Mai 2025 mit 9,9 von 10 Punkten. Die Begründung: Die leichte Ausnutzbarkeit und die Tatsache, dass in 91 Prozent der untersuchten Umgebungen Nicht-Admin-Nutzer die nötigen delegierten Rechte besaßen, stelle ein systemisches Risiko dar.

Da herkömmliche Patches oft nicht ausreichen, müssen Unternehmen ihre IT-Sicherheit ohne teure Fehlinvestitionen stärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken proaktiv schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit ohne teure Investitionen: Gratis-E-Book herunterladen

Was jetzt zu tun ist

Die Ouroboros-Technik lässt sich mit herkömmlichen Patches nicht stoppen – sie nutzt die legitime Betriebslogik des Systems. Huntress-Analysten warnen: Selbst die installation aller verfügbaren Updates verhindert nicht, dass Angreifer gültige bidirektionale Links erstellen, wenn sie einmal die delegierten Rechte zur Verwaltung von dMSA-Objekten besitzen.

Organisationen sollten daher:

• Granulare Überwachung von Active-Directory-Attributänderungen einführen, insbesondere der Attribute „msDS-ManagedAccountPrecededByLink“ und „msDS-ManagedAccountSucceededByLink“
• Den Einsatz spezialisierter Werkzeuge wie „Evil-CreateDump“ oder unautorisierte Aufrufe der APIs LsaOpenPolicy und LsaLookupSids überwachen
• Delegierungsmodelle härten – wer darf eigentlich dMSA-Objekte verwalten?

Die Sicherheitsgemeinschaft erwartet, dass Microsoft den dMSA-Autorisierungsfluss nachbessern wird – etwa durch Multi-Faktor-Absicherung oder restriktivere Standardberechtigungen. Bis dahin bleibt die Last bei den Administratoren. Der Grundkonflikt zwischen zentralisierter Identitätsverwaltung und den Risiken einzelner Schwachstellen wird Windows Server 2025 noch länger begleiten. Der Trend geht klar zu „Identity-First“-Sicherheitsstrategien, die davon ausgehen, dass der Perimeter bereits durchbrochen ist – und die Überwachung interner Vertrauensgrenzen priorisieren.

de | wissenschaft | 69278475 |