Thought Leadership
Forscher von Akamai haben eine besorgniserregende Schwachstelle im Windows Server 2025 entdeckt, die Angreifern ermöglicht, die Privilegien im Active Directory zu erweitern. Das betroffene Feature, das delegierte Managed Service Accounts (dMSA) verwendet, könnte in vielen Netzwerken unbemerkt ausgenutzt werden.
Missbrauch von dMSA in Windows Server 2025
Akamai hat eine kritische Sicherheitslücke im Windows Server 2025 identifiziert, die Angreifern erlaubt, privilegierte Benutzerkonten im Active Directory (AD) zu kompromittieren. Die Schwachstelle betrifft das Feature für delegierte Managed Service Accounts (dMSA), das mit der Standardkonfiguration aktiviert ist. Angreifer können so ohne großen Aufwand auf beliebige Benutzer zugreifen und die Kontrolle übernehmen – ein ernstzunehmendes Risiko für Unternehmen, die Windows Server 2025 verwenden.
Wie funktioniert der Angriff?
Das dMSA-Feature, das in Windows Server 2025 eingeführt wurde, dient dazu, veraltete Dienstkonten zu ersetzen, indem es deren Berechtigungen übernimmt. Der Clou dabei: Ein Angreifer benötigt nur eine kleine, häufig übersehene Berechtigung innerhalb einer beliebigen Organisationseinheit (OU) im Active Directory. Diese Berechtigung wird oft nicht bemerkt, da sie keinerlei Verdacht erregt. Das bedeutet, dass die Schwachstelle auch dann ausgenutzt werden kann, wenn das dMSA-Feature nicht aktiv genutzt wird – jede Domain, die einen Windows Server 2025 Domain Controller einsetzt, ist betroffen.
Welche Organisationen sind betroffen?
Akamai stellte fest, dass 91 Prozent der untersuchten Umgebungen bereits Benutzer in der Domain haben, die über die nötigen Rechte verfügen, um diesen Angriff durchzuführen – obwohl diese Benutzer nicht einmal Teil der Domain-Admins-Gruppe sind. Dies stellt eine erhebliche Bedrohung für viele Unternehmen dar, die auf Active Directory setzen und Windows Server 2025 im Einsatz haben.
Wie können Unternehmen sich schützen?
Solange Microsoft keinen Patch zur Verfügung stellt, sollten Administratoren in betroffenen Organisationen dringend Maßnahmen ergreifen. Eine der wichtigsten Schutzvorkehrungen besteht darin, die Möglichkeit zur Erstellung von dMSAs zu begrenzen und Berechtigungen zu verschärfen. Sicherheitsverantwortliche sollten regelmäßig überprüfen, welche Benutzer und Gruppen in der Domain berechtigt sind, dMSAs zu erstellen, und diese Rechte auf vertrauenswürdige Administratoren beschränken.
Zur Unterstützung hat Akamai ein PowerShell-Skript veröffentlicht, das eine detaillierte Übersicht über alle Benutzer und Organisationseinheiten (OUs) bietet, die über das Recht verfügen, dMSAs zu erstellen. Diese Liste hilft dabei, potenzielle Schwachstellen zu identifizieren und schnell zu beheben.
Fazit: Wachsame Administrierung erforderlich
Unternehmen sollten die Verwaltung von dMSAs und deren Berechtigungen ebenso ernst nehmen wie andere sicherheitskritische Operationen. Der Schutz vor Missbrauch dieser Funktion erfordert, dass Administratoren regelmäßig Berechtigungen überprüfen und alle Änderungen daran protokollieren. Die Sicherheitslücke stellt eine erhebliche Gefahr dar, die durch proaktive Sicherheitsvorkehrungen minimiert werden kann.
(vp/Akamai)
