{"id":12903,"date":"2025-05-26T13:40:06","date_gmt":"2025-05-26T13:40:06","guid":{"rendered":"https:\/\/byte-bucket.com\/2025\/05\/26\/akamai-warnt-vor-badsuccessor-sicherheitsluecke-in-windows-server-2022-entdeckt\/"},"modified":"2025-05-26T13:40:06","modified_gmt":"2025-05-26T13:40:06","slug":"akamai-warnt-vor-badsuccessor-sicherheitsluecke-in-windows-server-2022-entdeckt","status":"publish","type":"post","link":"https:\/\/byte-bucket.com\/?p=12903","title":{"rendered":"Akamai warnt vor BadSuccessor: Sicherheitsl\u00fccke in Windows Server 2022 entdeckt"},"content":{"rendered":"<p>Akamai, ein Betreiber eines umfangreichen Content Delivery Networks (CDN), warnt aktuell vor einer Schwachstelle in Active Directory bei Windows Server 2022, die unter dem Namen BadSuccessor bekannt ist. Diese L\u00fccke erm\u00f6glicht Angreifern, Rechte im System auszuweiten und so potenziell sch\u00e4dliche Aktionen durchzuf\u00fchren. Das Problem liegt in der Funktionsweise neuer delegierter Managed Service Accounts (dMSAs), die Microsoft mit Windows Server 2022 eingef\u00fchrt hat. dMSAs dienen dazu, bestehende, unverwaltete Dienstkonten in eine zentralisierte und besser kontrollierbare Form zu transformieren. Allerdings haben Akamai-Analysten in den inneren Mechanismen der dMSAs eine Sicherheitsl\u00fccke entdeckt, die es Angreifern erm\u00f6glicht, durch gezielte Manipulationen Berechtigungen zu erweitern.<\/p>\n<p>Ein Angriff nutzt diese Schwachstelle aus, indem er eine Schreibberechtigung auf einen beliebigen dMSA in einer bestimmten Organizational Unit (OU) innerhalb der Dom\u00e4ne erlangt. Mit dieser Berechtigung reicht es aus, dass mindestens ein Windows Server 2022 im Netzwerk vorhanden ist, um den Angriff zu starten und somit prinzipiell jeden Principal \u2013 Benutzer, Gruppen oder Computer \u2013 innerhalb der Dom\u00e4ne zu \u00fcbernehmen. Akamai betont, dass dies nicht zwingend auf die direkte Nutzung von dMSAs angewiesen ist, sondern durch die Ausnutzung der Schwachstelle in deren Umfeld m\u00f6glich wird.<\/p>\n<p>Um dieses Risiko zu minimieren, empfiehlt Akamai eine pr\u00e4ventive Ma\u00dfnahme: die Identifikation aller Principals (User, Gruppen, Computer), die berechtigt sind, dMSAs in der Dom\u00e4ne zu erstellen. Diese Berechtigung sollte streng auf vertrauensw\u00fcrdige Administratoren beschr\u00e4nkt werden. Um diesen Prozess zu unterst\u00fctzen, stellt Akamai ein Powershell-Skript zur Verf\u00fcgung, das die nicht-standardm\u00e4\u00dfigen Principals auflistet, welche dMSA-Erstellungsberechtigung besitzen, und die zugeh\u00f6rigen OUs identifiziert.<\/p>\n<p>Bisher ist unklar, wann Microsoft eine offizielle L\u00f6sung f\u00fcr die BadSuccessor-L\u00fccke in Windows Server 2022 bereitstellen wird. Bis dahin m\u00fcssen Systemadministratoren auf die vom Sicherheitsdienstleister empfohlene Interimsl\u00f6sung setzen, um das Risiko von Angriffen zu minimieren und die Sicherheit ihrer Systeme zu gew\u00e4hrleisten.<\/p>\n<p>Schlagw\u00f6rter: dMSAs + Akamai + Windows<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Akamai, ein Betreiber eines umfangreichen Content Delivery Networks (CDN), warnt aktuell vor einer Schwachstelle in Active Directory bei Windows Server 2022, die unter dem Namen BadSuccessor bekannt ist. Diese L\u00fccke erm\u00f6glicht Angreifern, Rechte im System auszuweiten und so potenziell sch\u00e4dliche Aktionen durchzuf\u00fchren. Das Problem liegt in der Funktionsweise neuer delegierter&#46;&#46;&#46;<\/p>\n","protected":false},"author":4,"featured_media":12902,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-12903","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12903","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12903"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/12903\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/12902"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12903"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12903"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12903"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}