Neue Bedrohung für Windows Server 2025

Semperis und Akamai: Warnung vor „BadSuccessor“-Exploit

Windows
Quelle: tomeqs / Shutterstock.com
LinkedInRedditWhatsAppPocket

Windows Server 2025 steht im Fokus einer neuen Sicherheitsbedrohung: Die sogenannte “BadSuccessor”-Schwachstelle ermöglicht es Angreifern, ihre Systemrechte erheblich auszuweiten und ganze Domänen zu kompromittieren.

Betroffen sind alle Organisationen, die mindestens einen Domänencontroller mit Windows Server 2025 betreiben.

Anzeige

Die Problematik liegt in den delegierten verwalteten Dienstkonten (dMSAs) begründet, einer neuen Funktion des Betriebssystems, die eigentlich die Sicherheit von Dienstkonten verbessern sollte. Stattdessen haben Forscher von Akamai aufgezeigt, wie diese Technologie für Cyberangriffe missbraucht werden kann.

Funktionsweise des Angriffs

Cyberkriminelle nutzen die dMSA-Funktionalität aus, um sich innerhalb von Active Directory als hochprivilegierte Benutzer zu tarnen – einschließlich Domain-Administratoren. Diese Rechteausweitung erfolgt durch die Manipulation der neuen Windows-Server-Funktion, wodurch Angreifer Zugang zu kritischen Systembereichen erhalten.

Das Sicherheitsunternehmen Semperis beschreibt das Problem als Teil einer größeren Herausforderung im Bereich der Identitätssicherheit: Dienstkonten verfügen häufig über übermäßige oder unüberwachte Berechtigungen und schaffen damit versteckte Angriffswege für Kriminelle.

Anzeige

Schutzmaßnahmen und Erkennungstools

Als Reaktion auf die Bedrohung hat Semperis seine Directory-Services-Protector (DSP)-Plattform erweitert. Die Lösung umfasst nun einen neuen Indicator of Exposure (IOE) sowie drei Indicators of Compromise (IOCs), die abnormales Verhalten bei dMSAs erkennen können.

Diese Erkennungstools helfen Sicherheitsteams dabei, verdächtige Aktivitäten zu identifizieren:

  • Übermäßige Delegierungsrechte
  • Böswillige Verbindungen zwischen dMSAs und privilegierten Konten
  • Angriffe auf sensible Konten wie KRBTGT
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Dringender Handlungsbedarf

Da Microsoft bislang keinen Patch für die Schwachstelle bereitgestellt hat, sind Unternehmen dazu aufgerufen, sofortige Schutzmaßnahmen zu ergreifen. Besonders kritisch ist die Situation, da bereits ein einziger falsch konfigurierter Domänencontroller Risiken für die gesamte IT-Umgebung schaffen kann.

Sicherheitsexperten empfehlen eine umgehende Überprüfung der dMSA-Berechtigungen und den Einsatz erweiterter Erkennungstools zur Überwachung verdächtiger Aktivitäten.

Expertenstimmen zur Bedrohungslage

Die Zusammenarbeit zwischen Akamai-Forschern und Semperis bei der Entwicklung von Schutzmaßnahmen zeigt die Bedeutung schneller Reaktionen auf neue Bedrohungen. Tomer Nahum von Semperis betont die anhaltende Problematik von Dienstkonten als unkontrollierte, aber mächtige Ressourcen in Unternehmensumgebungen.

Die BadSuccessor-Schwachstelle verdeutlicht einmal mehr, wie neue Sicherheitsfeatures unbeabsichtigt zu Angriffsvektoren werden können und unterstreicht die Notwendigkeit kontinuierlicher Sicherheitsüberwachung in modernen IT-Infrastrukturen.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Semperis und Trellix arbeiten zusammen

Weitere Artikel

Catena-X: Wie MHP Volkswagen ins Datenzeitalter bringt
T-Mobile: 64 Mio. Datensätze angeblich geleakt
Defizite im Kampf gegen Cybermobbing
Datenschutz: So viele Beschwerden wie noch nie
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.