Kein Patch verfügbar: BSI warnt vor kritischer AD-Lücke in Windows Server 2025
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Warnung vor einer gefährlichen Sicherheitslücke herausgegeben(öffnet im neuen Fenster) , die es Angreifern ermöglicht, in Umgebungen mit mindestens einem auf Windows Server 2025 basierenden Domain Controller ihre Rechte auszuweiten. Microsoft selbst stuft den Schweregrad als moderat ein und hat daher bisher keine CVE-Kennung registriert. Das BSI sieht die Lücke hingegen als kritisch an und schreibt ihr einen CVSS-Wert von 9,9 zu.
Entdeckt und publik gemacht wurde die Schwachstelle von Sicherheitsforschern von Akamai. Wie diese in einem Blogbeitrag(öffnet im neuen Fenster) erklären, kann ein Angreifer die mit Windows Server 2025 eingeführten delegated Managed Service Accounts(öffnet im neuen Fenster) (dMSA) ausnutzen, um beliebige Benutzer im Active Directory (AD) zu übernehmen - auch solche mit Adminrechten.
Die Forscher behaupten, dass der Angriff in den meisten AD-Umgebungen durchführbar ist. Bei eigenen Untersuchungen fanden sie die erforderlichen Bedingungen in 91 Prozent der Fälle vor. Voraussetzung ist wohl lediglich der Zugriff auf ein einfaches Nutzerkonto mit einer bestimmten aber in der Regel unauffälligen Berechtigung für eine beliebige Organisationseinheit (OU). Damit soll es möglich sein, jeden Principal der jeweiligen Domäne zu übernehmen.
Ein Windows Server 2025 in der Domäne reicht
Umso gefährlicher wird der von den Forschern als Badsuccessor bezeichnete Angriff dadurch, dass er wohl mit den Standardeinstellungen von Windows Server 2025 funktioniert. Darüber hinaus müssen die neuen dMSAs gar nicht aktiv genutzt werden. Laut Akamai reicht es schon aus, wenn lediglich die Funktion verfügbar ist, was grundsätzlich in jeder Domäne mit mindestens einem DC auf Basis von Windows Server 2025 der Fall sein soll.
Die Forscher meldeten ihre Entdeckungen nach eigenen Angaben schon am 1. April an Microsoft, jedoch sieht der Konzern darin wohl nur ein moderates Risiko. Aus diesem Grund gibt es auch bisher noch keinen Patch - ein solcher soll erst später erscheinen. Administratoren, die ihre Systeme vor möglichen Angriffen schützen wollen, müssen also manuell eingreifen.
Als Schutzmaßnahme empfehlen die Akamai-Forscher, möglichst vielen Nutzern, Gruppen und Computern die Berechtigung zur Erstellung von dMSAs zu entziehen und sie lediglich vertrauenswürdigen Administratoren zu überlassen. Auf Github hat das Forscherteam ein Powershell-Skript veröffentlicht(öffnet im neuen Fenster) , das bei diesem Vorgang unterstützen kann.
Sowohl Microsoft als auch Akamai ernten Kritik
Microsoft bestätigte das Bestehen der Lücke und stimmte einer Veröffentlichung der Details durch Akamai zu. Die Einschätzung des Konzerns hinsichtlich des Schweregrades von Badsuccessor ist jedoch umstritten. Infolgedessen kritisierte der Sicherheitsexperte Florian Roth auf X beide Unternehmen scharf(öffnet im neuen Fenster) . Er bezeichnete die Situation als "ein Lehrbuchbeispiel dafür, warum das Sicherheits-Ökosystem kaputt ist" .
Roth betont etwa, dass ein Missbrauch der dMSAs mit dem auf Github frei verfügbaren Rubeus-Toolset(öffnet im neuen Fenster) schon seit Februar möglich sei. Microsoft wirft er vor diesem Hintergrund vor, entweder Bugs nicht mehr richtig einschätzen zu können oder sich absichtlich nicht mehr um On-Prem-AD zu kümmern, um mehr seiner cloudbasierten Entra-ID-Zugänge verkaufen zu können.
Den Akamai-Forschern hingegen unterstellt er Fahrlässigkeit. "Sie wussten, dass dies ein schwerer Schlag sein würde" , schreibt Roth. Dennoch hätten sie sich entschieden, Details zu Badsuccessor zu veröffentlichen und damit "die Welt zu verbrennen" , weil ihr Drang, Recht zu behalten, ihnen wichtiger sei als die Sicherheit aller anderen. "Ich gratuliere. In einer seltenen Show der Verbundenheit haben es beide Seiten geschafft, die Sache zu vermasseln" , so Roth.