
Das BSI warnt vor der kritischen Schwachstelle in Windows Server 2025 mit einem CVSS von 9.9, welche von Akamai entdeckt wurde. Der Sicherheits- und Internetdienstleister warnt ebenfalls vor der Schwachstelle. Microsoft hingegen sieht keine große Gefahr trotz der BSI-Warnung.
Das BSI warnt: Sicherheitsforscher von Akamai haben eine schwerwiegende Schwachstelle in Windows Server 2025 entdeckt, die es Angreifern ermöglicht, sich höhere Berechtigungen in Active Directory (AD) zu verschaffen. Die als BadSuccessor bezeichnete Attacke nutzt die neuen delegated Managed Service Accounts (dMSAs) aus, die eigentlich zur sicheren Migration von Service-Konten gedacht sind.
Hauptpunkte der kritischen 9.9 Schwachstelle
Angriffsmethode: Durch Manipulation der Attribute msDS-ManagedAccountPrecededByLink und msDS-DelegatedMSAState kann ein Angreifer eine Migration simulieren und sich die Rechte eines bestehenden AD-Kontos aneignen.
Betroffene Systeme: Jeder Windows Server 2025 Domain Controller ist potenziell gefährdet, selbst wenn dMSAs nicht aktiv genutzt werden.
Rechteausweitung: Angreifer können sich Domain-Administrator-Rechte verschaffen, ohne bestehende Gruppenmitgliedschaften zu ändern oder auffällige LDAP-Schreibvorgänge durchzuführen.
Verbreitung: In 91 % der untersuchten Umgebungen haben Nicht-Administratoren die Berechtigungen, um diesen Angriff durchzuführen.
Microsofts Reaktion: man sieht nur moderate Gefahr
Microsoft hat die Schwachstelle bestätigt, stuft sie jedoch nur als moderat ein und plant keinen sofortigen Patch. Akamai widerspricht dieser Einschätzung und betont die hohe Gefahr, da die benötigten Berechtigungen oft unterschätzt werden. Auch das BSI, das Bundesamt für Sicherheit in der Informationstechnik, warnt eindringlich vor der Schwachstelle in Server 2025 und vergibt einen CVSS Score von 9.9, was für „kritisch“ steht.
Akamais empfohlene Schutzmaßnahmen
- Überwachung von dMSA-Erstellungen und Änderungen an relevanten AD-Attributen.
- Einschränkung von Berechtigungen für Benutzer mit CreateChild-Rechten in Organizational Units (OUs).
- Einsatz von Erkennungstools, wie Akamais Get-BadSuccessorOUPermissions.ps1, um betroffene OUs zu identifizieren.
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.