{"id":1568,"date":"2025-05-21T15:36:14","date_gmt":"2025-05-21T13:36:14","guid":{"rendered":"https:\/\/www.lan-wan-telecom.de\/?p=1568"},"modified":"2025-05-21T15:36:14","modified_gmt":"2025-05-21T13:36:14","slug":"akamai-warnt-vor-missbrauch-des-dmsa-features-im-windows-server-2025","status":"publish","type":"post","link":"https:\/\/www.lan-wan-telecom.de\/index.php\/2025\/05\/21\/akamai-warnt-vor-missbrauch-des-dmsa-features-im-windows-server-2025\/","title":{"rendered":"Akamai warnt vor Missbrauch des dMSA-Features im Windows Server 2025"},"content":{"rendered":"<p>Akamai-Forscher haben eine Schwachstelle zur Privilegienerweiterung in Windows Server 2025 entdeckt. Diese erm\u00f6glicht Angreifern, beliebige Benutzer im Active Directory (AD) zu kompromittieren.\u00a0Der Angriff nutzt das Feature f\u00fcr delegierte Managed Service Accounts (dMSA) aus. Die Funktion wurde in Windows Server 2025 eingef\u00fchrt, l\u00e4uft \u00fcber die Standardkonfiguration und ist einfach umzusetzen.<\/p>\n<h4>Was bedeutet dMSA?<\/h4>\n<p>Ein dMSA wird in der Regel erstellt, um ein bestehendes, veraltetes Dienstkonto zu ersetzen. Um einen nahtlosen \u00dcbergang zu erm\u00f6glichen, kann ein dMSA die Berechtigungen des alten Kontos durch einen Migrationsprozess \u201eerben\u201c. Dieser Migrationsablauf koppelt den dMSA eng an das abgel\u00f6ste Konto.\u00a0Der Ablauf und die dabei vergebenen Berechtigungen machen die Sache interessant. Denn alles, was ein Angreifer ben\u00f6tigt, ist eine scheinbar harmlose Berechtigung auf einer beliebigen Organisationseinheit (OU) in der Domain \u2013 eine Berechtigung, die oft unbemerkt bleibt.\u00a0Der Angriff funktioniert standardm\u00e4\u00dfig; die Domain muss dMSAs nicht einmal aktiv nutzen. Solange die Funktion existiert (was in jeder Domain mit mindestens einem Windows Server 2025 Domain Controller der Fall ist), steht sie zur Verf\u00fcgung.<\/p>\n<p>Dieses Problem betrifft vermutlich die meisten Organisationen, die auf AD angewiesen sind. In 91 Prozent der untersuchten Umgebungen fand Akamai Benutzer au\u00dferhalb der Domain-Admins-Gruppe, die \u00fcber die erforderlichen Berechtigungen verf\u00fcgten, um diesen Angriff durchzuf\u00fchren.<\/p>\n<h4>Wie k\u00f6nnen sich Nutzer sch\u00fctzen?<\/h4>\n<p>Bis Microsoft einen offiziellen Patch ver\u00f6ffentlicht, sollten sich Abwehrma\u00dfnahmen darauf konzentrieren, die M\u00f6glichkeit zur Erstellung von dMSAs einzuschr\u00e4nken. Au\u00dferdem gilt es, Berechtigungen zu versch\u00e4rfen.\u00a0Verteidiger sollten Benutzer, Gruppen und Computer identifizieren, die berechtigt sind, dMSAs in der gesamten Domain zu erstellen, und diese Berechtigung ausschlie\u00dflich auf vertrauensw\u00fcrdige Administratoren beschr\u00e4nken. Um dabei zu helfen, hat Akamai ein PowerShell-Skript ver\u00f6ffentlicht, das:<\/p>\n<ul>\n<li>alle nicht standardm\u00e4\u00dfigen Prinzipale auflistet, die dMSAs erstellen k\u00f6nnen.<\/li>\n<li>die OUs auflistet, in denen jeder Prinzipal diese Berechtigung besitzt.<\/li>\n<\/ul>\n<p>Organisationen sollten die M\u00f6glichkeit, dMSAs zu erstellen oder bestehende zu kontrollieren, mit der gleichen Sorgfalt behandeln wie andere sensible Operationen. Berechtigungen zur Verwaltung dieser Objekte sollten streng eingeschr\u00e4nkt und \u00c4nderungen daran regelm\u00e4\u00dfig \u00fcberwacht und protokolliert werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Akamai-Forscher haben eine Schwachstelle zur Privilegienerweiterung in Windows Server 2025 entdeckt. Diese erm\u00f6glicht Angreifern, beliebige Benutzer im Active Directory (AD) zu kompromittieren.\u00a0Der Angriff nutzt das Feature f\u00fcr delegierte Managed Service Accounts (dMSA) aus. Die Funktion wurde in Windows Server 2025 eingef\u00fchrt, l\u00e4uft \u00fcber die Standardkonfiguration und ist einfach umzusetzen. Was bedeutet dMSA? Ein dMSA wird [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10,11],"tags":[],"class_list":["post-1568","post","type-post","status-publish","format-standard","hentry","category-recht-gesetz","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1568","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1568"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1568\/revisions"}],"predecessor-version":[{"id":1569,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1568\/revisions\/1569"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1568"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1568"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1568"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}