Akamai-Forscher haben eine Schwachstelle zur Privilegienerweiterung in Windows Server 2025 entdeckt. Diese ermöglicht Angreifern, beliebige Benutzer im Active Directory (AD) zu kompromittieren. Der Angriff nutzt das Feature für delegierte Managed Service Accounts (dMSA) aus. Die Funktion wurde in Windows Server 2025 eingeführt, läuft über die Standardkonfiguration und ist einfach umzusetzen.

Was bedeutet dMSA?

Ein dMSA wird in der Regel erstellt, um ein bestehendes, veraltetes Dienstkonto zu ersetzen. Um einen nahtlosen Übergang zu ermöglichen, kann ein dMSA die Berechtigungen des alten Kontos durch einen Migrationsprozess „erben“. Dieser Migrationsablauf koppelt den dMSA eng an das abgelöste Konto. Der Ablauf und die dabei vergebenen Berechtigungen machen die Sache interessant. Denn alles, was ein Angreifer benötigt, ist eine scheinbar harmlose Berechtigung auf einer beliebigen Organisationseinheit (OU) in der Domain – eine Berechtigung, die oft unbemerkt bleibt. Der Angriff funktioniert standardmäßig; die Domain muss dMSAs nicht einmal aktiv nutzen. Solange die Funktion existiert (was in jeder Domain mit mindestens einem Windows Server 2025 Domain Controller der Fall ist), steht sie zur Verfügung.

Dieses Problem betrifft vermutlich die meisten Organisationen, die auf AD angewiesen sind. In 91 Prozent der untersuchten Umgebungen fand Akamai Benutzer außerhalb der Domain-Admins-Gruppe, die über die erforderlichen Berechtigungen verfügten, um diesen Angriff durchzuführen.

Wie können sich Nutzer schützen?

Bis Microsoft einen offiziellen Patch veröffentlicht, sollten sich Abwehrmaßnahmen darauf konzentrieren, die Möglichkeit zur Erstellung von dMSAs einzuschränken. Außerdem gilt es, Berechtigungen zu verschärfen. Verteidiger sollten Benutzer, Gruppen und Computer identifizieren, die berechtigt sind, dMSAs in der gesamten Domain zu erstellen, und diese Berechtigung ausschließlich auf vertrauenswürdige Administratoren beschränken. Um dabei zu helfen, hat Akamai ein PowerShell-Skript veröffentlicht, das:

• alle nicht standardmäßigen Prinzipale auflistet, die dMSAs erstellen können.
• die OUs auflistet, in denen jeder Prinzipal diese Berechtigung besitzt.

Organisationen sollten die Möglichkeit, dMSAs zu erstellen oder bestehende zu kontrollieren, mit der gleichen Sorgfalt behandeln wie andere sensible Operationen. Berechtigungen zur Verwaltung dieser Objekte sollten streng eingeschränkt und Änderungen daran regelmäßig überwacht und protokolliert werden.