Forscher von Akamai haben eine Schwachstelle in Windows Server 2025 entdeckt, die eine Privilegienerweiterung erlaubt. Angreifer können offenbar beliebige Nutzerkonten im Active Directory kompromittieren. Während Microsoft das Risiko der Anfälligkeit als gering bewertet und kurzfristig keinen Patch bereitstellen will, stuft Akamai den Bug als schwerwiegend ein.
Die Anfälligkeit steckt in der Funktion delegierte Managed Service Accounts (dMSA). Sie wurde mit Windows Server 2025 eingeführt, um ein bestehendes, veraltetes Dienstkonto zu ersetzen. Um einen nahtlosen Übergang zu ermöglichen, kann ein dMSA laut Akamai die Berechtigungen des alten Kontos durch einen Migrationsprozess „erben“. Dieser Migrationsablauf koppelt den dMSA eng an das abgelöste Konto.
„Der Ablauf und die dabei vergebenen Berechtigungen machen die Sache interessant. Denn alles, was ein Angreifer benötigt, ist eine scheinbar harmlose Berechtigung auf einer beliebigen Organisationseinheit (OU) in der Domain – eine Berechtigung, die oft unbemerkt bleibt“, beschreiben die Forscher die Anfälligkeit.
Damit ein Angriff funktioniere, müsse eine Domain dMSAs nicht einmal aktiv nutzen. In jeder Domain mit mindestens einem Windows Server 2025 Domain Controller stehe die Funktion zur Verfügung. Als Folge soll das Problem die meisten Organisationen betreffen, die Windows Server 2025 einsetzen. In 91 Prozent der untersuchten Umgebungen fand Akamai Benutzer außerhalb der Domain-Admins-Gruppe, die über die erforderlichen Berechtigungen verfügten, um diesen Angriff durchzuführen.
Microsoft wurde Akamai zufolge am 1. April 2025 über die Sicherheitslücke informiert. Der Softwarekonzern habe den Fehler bestätigt und als mittelschwer eingestuft. Deswegen seien die Anforderungen für ein sofortiges Update nicht erfüllt. Zudem verwies Microsoft auf einen Support-Artikel, in dem die Risiken der Berechtigung „CreateChild“ beschrieben werden.
„Obwohl wir Microsofts Antwort zu schätzen wissen, stimmen wir mit der Einschätzung des Schweregrads nicht überein“, ergänzte Akamai. „Diese Sicherheitsanfälligkeit führt einen bisher unbekannten und hochwirksamen Missbrauchspfad ein, der es jedem Benutzer mit CreateChild-Berechtigungen für eine Organisationseinheit ermöglicht, jeden Benutzer in der Domäne zu kompromittieren und ähnliche Befugnisse zu erlangen wie die Berechtigung ‚Replicating Directory Changes‘, die zur Durchführung von DCSync-Angriffen verwendet wird.“
Wann Microsoft einen Patch für die Lücke Windows Server 2025 bereitstellen wird, ist nicht bekannt. Weitere Details zu der Anfälligkeit sowie zu möglichen Sicherheitsvorkehrungen beschreibt Akamai in einem Blogeintrag.
Kommentare