Akamai warnt vor BadSuccessor: Sicherheitslücke in Windows Server 2022 entdeckt
Akamai, ein Betreiber eines umfangreichen Content Delivery Networks (CDN), warnt aktuell vor einer Schwachstelle in Active Directory bei Windows Server 2022, die unter dem Namen BadSuccessor bekannt ist. Diese Lücke ermöglicht Angreifern, Rechte im System auszuweiten und so potenziell schädliche Aktionen durchzuführen. Das Problem liegt in der Funktionsweise neuer delegierter Managed Service Accounts (dMSAs), die Microsoft mit Windows Server 2022 eingeführt hat. dMSAs dienen dazu, bestehende, unverwaltete Dienstkonten in eine zentralisierte und besser kontrollierbare Form zu transformieren. Allerdings haben Akamai-Analysten in den inneren Mechanismen der dMSAs eine Sicherheitslücke entdeckt, die es Angreifern ermöglicht, durch gezielte Manipulationen Berechtigungen zu erweitern.
Ein Angriff nutzt diese Schwachstelle aus, indem er eine Schreibberechtigung auf einen beliebigen dMSA in einer bestimmten Organizational Unit (OU) innerhalb der Domäne erlangt. Mit dieser Berechtigung reicht es aus, dass mindestens ein Windows Server 2022 im Netzwerk vorhanden ist, um den Angriff zu starten und somit prinzipiell jeden Principal – Benutzer, Gruppen oder Computer – innerhalb der Domäne zu übernehmen. Akamai betont, dass dies nicht zwingend auf die direkte Nutzung von dMSAs angewiesen ist, sondern durch die Ausnutzung der Schwachstelle in deren Umfeld möglich wird.
Um dieses Risiko zu minimieren, empfiehlt Akamai eine präventive Maßnahme: die Identifikation aller Principals (User, Gruppen, Computer), die berechtigt sind, dMSAs in der Domäne zu erstellen. Diese Berechtigung sollte streng auf vertrauenswürdige Administratoren beschränkt werden. Um diesen Prozess zu unterstützen, stellt Akamai ein Powershell-Skript zur Verfügung, das die nicht-standardmäßigen Principals auflistet, welche dMSA-Erstellungsberechtigung besitzen, und die zugehörigen OUs identifiziert.
Bisher ist unklar, wann Microsoft eine offizielle Lösung für die BadSuccessor-Lücke in Windows Server 2022 bereitstellen wird. Bis dahin müssen Systemadministratoren auf die vom Sicherheitsdienstleister empfohlene Interimslösung setzen, um das Risiko von Angriffen zu minimieren und die Sicherheit ihrer Systeme zu gewährleisten.
Schlagwörter: dMSAs + Akamai + Windows
Wie bewerten Sie den Schreibstil des Artikels?