Akamai, Betreiber des großen Content Delivery Network, warnt aktuell vor einer Sicherheitslücke im Active-Directory-Betrieb von Windows Server 2025. Nutzerinnen und Nutzer können dadurch ihre Rechte ausweiten.
Das Cloud-Unternehmen hat die Lücke "BadSuccessor" genannt. In einem Blog-Beitrag erörtert Akamai Details zur Schwachstelle. Demnach missbraucht ein Angriff eine Funktion namens "delegated Managed Service Account" (dMSA), die Microsoft mit dem Windows Server 2025 neu eingeführt hat. Verwundbar sei die Standardkonfiguration und eine Attacke trivial zu implementieren, erklärt Akamai.
Das Problem betrifft Akamais Analyse zufolge die meisten Organisationen, die Active Directory nutzen. "In 91 Prozent der Umgebungen, die wir untersucht haben, haben wir Nutzerkonten außerhalb der Domain-Admin-Gruppe entdeckt, die die nötigen Rechte zum Ausführen der Attacke haben", schreiben die Autoren. Microsoft plant demnach, das Problem zu korrigieren, jedoch ist bislang kein Patch verfügbar. IT-Verantwortliche müssen daher selbst Maßnahmen ergreifen, um die Angriffsfläche zu reduzieren. Die von Akamai vorgeschlagenen Lösungsansätze seien von Microsoft abgesegnet.
Der Angriff funktioniert, da Microsoft in Windows Server 2025 die "delegated Managed Service Accounts" (dMSA) eingeführt hat. Es handelt sich um eine neue Art von Dienstkonto im AD, das auf die Group Managed Service Accounts (gMSAs) aufsetzt. Die dMSAs können bestehende, unverwaltete Dienstkonten in dMSAs konvertieren. Als die IT-Forscher von Akamai etwas in den Innereien von dMSAs gestöbert haben, sind sie auf eine Möglichkeit zur Ausweitung der Rechte gestoßen – im Blog-Beitrag geht das Unternehmen tiefer ins Detail.
Mit den dMSAs ist es aufgrund der gefundenen Schwachstelle möglich, jeden Principal in einer Domäne zu übernehmen. Angreifer benötigen dazu lediglich eine bestimmte Berechtigung in einer der Organisational Units (OUs) der Domäne, nämlich eine Schreibberechtigung auf einen beliebigen dMSA. Damit ein Angriff klappt, müssen in einer Domäne nicht einmal dMSAs genutzt werden – dafür muss lediglich mindestens ein Windows Server 2025 als Domain Controller im Netz laufen.
Als Gegenmaßnahme schlägt Akamai vor, alle Principals wie User, Groups und Computer mit der Berechtigung, dMSAs in der Domain zu erstellen, aufzuspüren und diese Berechtigung auf "trusted Administrators" zu beschränken. Akamai stellt ein Powershell-Skript bereit, das die nicht-standard-Principals auflistet, die dMSAs erstellen dürfen und die OUs ausgibt, für die die Principals diese Berechtigung haben.
Es ist derzeit noch vollkommen unklar, wann Microsoft die Sicherheitslücke im Windows Server 2025 stopft.
Lesen Sie auch
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo