Dieser Beitrag wurde zuletzt im Februar 2026 aktualisiert.
Die Kerberos-Delegierung wurde ursprünglich als Sicherheitsverbesserung konzipiert – eine Möglichkeit für Anwendungen, sich beim Zugriff auf Ressourcen sicher im Namen von Benutzern zu authentifizieren. Identitätswechsel als Teil von AD-Authentifizierung Das ist nicht grundsätzlich schlecht; es ist vielmehr eine elegante Lösung für ein lange bestehendes Problem: Wie kann man Anwendungen nur dann Zugriff auf Ressourcen gewähren, wenn sie diese wirklich benötigen, und gleichzeitig den Umfang der abrufbaren Daten begrenzen? Beispielsweise stellt ein Frontend-Dienst, der im Auftrag eines Nutzers eine Backend-API aufruft, eine legitime und gut kontrollierte Nutzung dieses Mechanismus dar.
Mit der Weiterentwicklung von Unternehmensumgebungen wurde dieser Ansatz zum Standard für die Interaktion von Anwendungen mit Ressourcen. Kerberos- Die Delegation führte eine strukturierte und sichere Methode ein, mit der Dienste den Benutzerzugriff nur bei Bedarf erweitern und so die Integrität der Authentifizierung in komplexen Systemen gewährleisten können. Durch die Verlagerung des Vertrauens wurde jedoch auch das Feld erweitert, wodurch Forscher mehr Möglichkeiten zur Untersuchung potenzieller Schwachstellen und Angreifer mehr Spielraum für Eingriffe, Manipulationen oder den Missbrauch von Vertrauen auf neue Weise erhielten.
Der Missbrauch der Kerberos-Delegierung kann daher gefährlich sein, wenn sie in die falschen Hände gerät… Was wäre beispielsweise, wenn ein Angreifer einen Weg findet, sich in den Delegierungspfad einzuschleusen und sich als Benutzer auszugeben, um auf sensible Ressourcen zuzugreifen? Oder noch weiter gedacht: Was wäre, wenn der Angreifer einen Weg findet, sich als ein anderer, möglicherweise privilegierterer Benutzer auszugeben als beabsichtigt?
Eliran Partush, Sicherheitsforscher bei Silverfort, untersuchte genau dieses Konzept in seiner jüngsten Forschung und lieferte eine vollständige technische Analyse in seinem Whitepaper, „CVE-2025-60704: Validierungsfehler in Windows Kerberos S4U: Von der Protokollumstellung zur Rechteausweitung.
Im Whitepaper beschreibt Eliran CVE-2025-60704 ist eine Sicherheitslücke, die eine Rechteausweitung unter Windows Kerberos ermöglicht und auf mehreren Validierungsfehlern in den S4U2Self- und S4U2Proxy-Abläufen beruht. Die Schwachstellen betreffen die kryptografische Bindung der S4U-Identität an eine Anfrage und die Integritätsprüfung von KDC-Antworten durch den Client in älteren, erreichbaren Modi.
Springen Sie direkt zum unten stehenden technischen Whitepaper oder lesen Sie weiter, um einen allgemeinen Überblick über die Forschungsergebnisse zu erhalten, die auf der Black Hat EU in London im Dezember 2025 vorgestellt wurden.
Technisches Whitepaper
CVE-2025-60704: Validierungsfehler in Windows Kerberos S4U: Von der Protokollumstellung zur Rechteausweitung
Lesen Sie es jetzt
CVE-Entdeckung
Im Rahmen der verantwortungsvollen Offenlegung meldete unser Forschungsteam die Kerberos-Schwachstelle mit eingeschränkter Delegierung an Microsoft. Am 11. November 2025 veröffentlichte Microsoft im Rahmen des Patch-Dienstags ein Update, das einen CVSS-Wert von 7.5 erhielt. Mithilfe der Man-in-the-Middle-Technik ermöglichte uns diese Schwachstelle, uns als beliebige Benutzer auszugeben und letztendlich die Kontrolle über die gesamte Domäne zu erlangen.
Warum CVE-2025-60704 wichtig ist
Kerberos ist ein mehrschichtiges Protokoll und kann anfangs komplex erscheinen; es umfasst mehrere Nachrichtenaustausche, verschlüsselte Tickets und Sitzungsschlüssel. Die Delegation erhöht die Komplexität zusätzlich, wobei verschiedene Modelle zur Verfügung stehen: unbeschränkt, beschränkt und ressourcenbasiert (RBCD). Dies trägt dazu bei, Vertrauensgrenzen zwischen Diensten zu erweitern. Eine weitere Ebene, die die Komplexität erhöht, ist Folgendes: Kerberos-Delegation Kerberos kann auch mit anderen Authentifizierungsmethoden interagieren. Hauptzweck von Kerberos ist die Authentifizierung eines Benutzers durch eine Anwendung.
Die Delegation von Aufgaben wird in der Cybersicherheit aus einem Hauptgrund immer ein wichtiger Aspekt sein: Die Möglichkeit, die Identität eines Benutzers zu imitieren, ist ein attraktives Ziel für Angreifer. Ob Ihr Unternehmen cloudnativ aufgestellt ist oder ob Ihre geschäftskritischen Anwendungen ausschließlich auf Legacy-Architekturen basieren, spielt keine Rolle. Das Grundprinzip bleibt dasselbe: Eine Anwendung, die im Namen eines Benutzers agiert, kann bei Missbrauch äußerst mächtig sein.
Als unser Team mit den Recherchen begann, suchten wir nach Möglichkeiten, die Sicherheitsmechanismen des Kerberos-Delegierungsprotokolls zu umgehen. Dabei stießen wir auf etwas Interessantes: Kerberos Constrained Delegation (KCD) verfügte über Mechanismen, die es uns ermöglichten, nicht nur die Identität eines Benutzers anzunehmen, dessen Zugriff wir erlangt hatten, sondern auch dessen Berechtigungen zu erweitern und vieles mehr. Wir würden das gerne genauer erläutern – aber das heben wir uns für den Vortrag auf.
Die Auswirkungen von CVE-2025-60704 im Falle seiner Ausnutzung
Wir denken bei Identitätsbedrohungen oft an den Zugriff auf die anvisierte Identität (ob menschlich oder nicht-menschlich, wie z. B. …). DienstkontoUnd dann sehen wir, was mit den Berechtigungen dieser Identität möglich ist. Selten denken wir daran, Zugang zu erlangen und dann in der Lage zu sein, uns völlig in eine andere Person zu verwandeln.
Die Auswirkungen sind klar: Jede Organisation, die … Active DirectorySysteme mit aktivierter Kerberos-Delegierung sind betroffen. Dies bedeutet, dass Tausende von Unternehmen weltweit von dieser Sicherheitslücke betroffen sind. Da die Kerberos-Delegierung eine Funktion von Active DirectoryEin Angreifer benötigt anfänglichen Zugriff auf eine Umgebung mit kompromittierte ZugangsdatenSobald die Sicherheitslücke ausgenutzt ist, können Angreifer ihre Berechtigungen ausweiten und sich lateral auf andere Rechner im Unternehmen ausbreiten. Schlimmer noch: Sie könnten sich auch als beliebige andere Person im Unternehmen ausgeben und so ungeahnte Zugriffsrechte erlangen oder sogar Domänenadministrator werden.
Die Ausnutzung von CVE-2025-60704 wäre Teil ihrer langfristigen Strategie, die auf den Diebstahl von geistigem Eigentum oder persönlichen Daten sowie Identitätsdiebstahl abzielt. Ransomware-und vieles mehr.
Abschwächung von CVE-2025-60704
Kerberos genießt seit Jahrzehnten Vertrauen als Rückgrat von UnternehmensauthentifizierungDoch selbst die durchdachtesten Sicherheitsprotokolle können unbemerkt untergraben und ausgenutzt werden. Was sollten Sicherheitsteams also tun?
Für jedes Unternehmen, das Active Directory, wir empfehlen Sie beheben diese Sicherheitslücke. so schnell wie möglich. Falls das Patchen vorerst nicht möglich ist, richten Sie eine Benachrichtigung in Ihrem System ein. ITDR Lösung zur Überwachung aller Kerberos Constrained Delegations.
Eliran Partushs Vortrag auf der Black Hat EU in London
Wer an der Black Hat-Konferenz in London teilgenommen hat, hat alles miterlebt:
- Wo die Forschung ihren Anfang nahm und wie unser Forschungsteam auf die CVE stieß.
- Wie ein Mechanismus, der Ihre Infrastruktur sicherer machen soll, Ihre Möglichkeiten erweitert Angriffsfläche.
- Protokollverhalten, Vertrauensannahmen und ein wenig Reverse Engineering der Windows-Interna halfen uns, den Fehler bis zu seiner Wurzel zurückzuverfolgen.
- Risikominderungsstrategien und wie Umgebungen, die auf Kerberos-Delegation angewiesen sind, besser geschützt werden können.
Ein Video des Vortrags wird in Kürze verfügbar sein; wir werden es in diesem Beitrag verlinken. Bis der Vortrag verfügbar ist, Besuchen Sie unser Whitepaper um die technischen Details zu lesen.
Haben Sie Interesse, mit uns in Kontakt zu bleiben und über unsere Forschung auf dem Laufenden zu bleiben? Vernetzen Sie sich mit dem Forscher auf LinkedIn, um mehr zu erfahren.
Über Eliran Partush, Silverfort Sicherheitsforscher
Eliran ist Sicherheitsforscher und IT-Spezialist bei Silverfort Er ist Mitglied eines Forschungsteams mit besonderem Interesse an Netzwerk- und Authentifizierungsprotokollen, insbesondere Kerberos. Er liebt Herausforderungen wie CTFs und vertieft sich gerne in die Protokollanalyse. Er verfügt über mehr als zehn Jahre Erfahrung als Netzwerk- und Systemingenieur bei Cisco und hat schon immer gerne Systeme auseinandergenommen und wieder zusammengebaut.