Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine eigene Sicherheitswarnung für die kürzlich von Akamai entdeckte Zero-Day-Lücke in Windows Server 2025 veröffentlicht. Während Microsoft die Schwachstelle, die eine Rechteausweitung erlaubt, als mittelschwer einstuft, bewertet das BSI den Fehler nun als kritisch.
Der Bewertung des Softwarekonzerns widersprach Akamai bereits bei der Offenlegung des Bugs. „Obwohl wir Microsofts Antwort zu schätzen wissen, stimmen wir mit der Einschätzung des Schweregrads nicht überein“, teilte Akamai in der vergangenen Woche mit. „Diese Sicherheitsanfälligkeit führt einen bisher unbekannten und hochwirksamen Missbrauchspfad ein, der es jedem Benutzer mit CreateChild-Berechtigungen für eine Organisationseinheit (OU) ermöglicht, jeden Benutzer in der Domäne zu kompromittieren und ähnliche Befugnisse wie die Berechtigung ‚Replicating Directory Changes‘ zu erlangen, die zur Durchführung von DCSync-Angriffen verwendet wird.“
Das BSI vergibt nun in seinem Advisory einen Basis-Score von 9,9 Punkten von 10 möglichen Punkten im Common Vulnerability Scoring System. Zudem geht die Behörde ebenfalls davon aus, dass sich die Zero-Day-Lücke aus der Ferne ausnutzen lässt.
Die Anfälligkeit selbst steckt in der Funktion delegierte Managed Service Accounts (dMSA). Sie wurde mit Windows Server 2025 eingeführt, um ein bestehendes, veraltetes Dienstkonto zu ersetzen. Um einen nahtlosen Übergang zu ermöglichen, kann ein dMSA laut Akamai die Berechtigungen des alten Kontos durch einen Migrationsprozess „erben“. Dieser Migrationsablauf koppelt ein dMSA eng an das abgelöste Konto.
In jeder Domain mit mindestens einem Windows Server 2025 Domain Controller stehe die Funktion zur Verfügung, so Akamai weiter. Als Folge soll das Problem die meisten Organisationen betreffen, die Windows Server 2025 einsetzen. In 91 Prozent der untersuchten Umgebungen fand Akamai Benutzer außerhalb der Domain-Admins-Gruppe, die über die erforderlichen Berechtigungen verfügten, um diesen Angriff durchzuführen.
Wann Microsoft einen Patch für die Lücke Windows Server 2025 bereitstellen wird, ist weiterhin nicht bekannt. Weitere Details zu der Anfälligkeit sowie zu möglichen Sicherheitsvorkehrungen beschreibt Akamai in einem Blogeintrag.
Neueste Kommentare
Noch keine Kommentare zu BSI bewertet Zero-Day-Lücke in Windows Server 2025 als kritisch
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.