BSI warnt vor kritischer Sicherheitslücke 9,9/10 in Windows Server 2025

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer kritischen, bislang ungepatchten Schwachstelle im Active Directory von Windows Server 2025. Microsoft hatte die Lücke zunächst als moderat eingestuft. Das BSI korrigierte diese Einschätzung nun nach oben auf 9,9 von 10 Punkten auf der CVSS-Skala.

Laut BSI ermöglicht die Schwachstelle Angreifern, ihre Rechte im System auszuweiten. Active Directory ist Microsofts zentrales Verzeichnis-System zur Verwaltung und Absicherung von Benutzerkonten, Rechnern und Ressourcen innerhalb eines Windows-Netzwerks.

Sicherheitsforscher des Unternehmens Akamai haben die Schwachstelle veröffentlicht und BadSuccessor getauft. Durch die Ausnutzung der in Windows Server 2025 neu eingeführten Funktion der delegierten Managed Service Accounts (dMSA) könne jeder Benutzer im Active Directory kompromittiert werden und das "ohne großen Aufwand" in der Standardkonfiguration.

„Jeder Nutzer, der Kontrolle über ein dMSA-Objekt hat, kann damit die Kontrolle über die gesamte Domäne übernehmen. Mehr braucht es nicht. Keine Migration, keine Prüfung, keine Kontrolle“, warnt Akamai.

Wie Golem.de berichtet, stuft das BSI die Schwachstelle als kritisch ein, obwohl Microsoft sie lediglich als moderat bewertet und bislang nicht einmal eine CVE-ID vergeben hat.

"In 91 % der untersuchten Umgebungen gab es Nutzer außerhalb der Domain-Admins-Gruppe, die die nötigen Rechte besaßen, um den Angriff auszuführen.” erklärte Akamai.

Die Situation sorgt für Kritik auf beiden Seiten: zum einen an den Forschenden, die die Schwachstelle öffentlich machten, obwohl kein Patch vorlag, zum anderen an Microsoft, das den Schweregrad offenbar nicht richtig eingeschätzt hat.

Sicherheitsexperte Florian Roth warnt, dass die Lücke eine vollständige Kompromittierung der Domain in der Standardkonfiguration ermöglicht und dass es weder ein Update noch eine Gegenmaßnahme gibt.

„Die Forschenden haben trotzdem alles veröffentlicht. Begründung: ‚Wir stimmen Microsofts Einschätzung nicht zu.‘ Also ja, dann stellt man halt einfach eine Technik zur vollständigen Domain-Übernahme ins Netz, um ein Zeichen zu setzen“, kritisierte Roth.

„Am Ende stehen beide Seiten schlecht da: Microsoft, entweder dysfunktional oder gleichgültig. Die Forschenden, auf der Jagd nach Aufmerksamkeit statt koordinierter Offenlegung.“

#BadSuccessor - a textbook example of why the security ecosystem is broken

- A privilege escalation vuln in Windows Server 2025 AD (via dMSA)
- Full domain compromise with default config
- Microsoft was told, agreed it’s real, but rated it undefinedmoderateundefined
- No patch, No fix
- No code… pic.twitter.com/No7dysPzWR

undefined Florian Roth ⚡️ (@cyb3rops) May 22, 2025

Akamai betont in seinem Bericht, dass Microsoft die eigenen Erkenntnisse geprüft und der Veröffentlichung zugestimmt habe.

Zwar ist Windows Server 2025 seit November 2024 allgemein verfügbar, wird aber bislang noch kaum eingesetzt. Sicherheitsexperte Florian Roth spricht daher von einem aktuell noch „begrenzten realen Schadenspotenzial“.

Erhalte neueste Updates bei Google News

Jetzt folgen

Roth kritisiert Microsoft scharf, entweder wegen der fehlerhaften Risikoeinschätzung oder weil das Unternehmen schlicht kein Interesse mehr an lokal betriebenem Active Directory habe und sich stattdessen auf den Verkauf seines Cloud-Dienstes Entra ID konzentriere.

Obwohl es derzeit keinen offiziellen Patch gibt, empfiehlt Akamai den IT-Verantwortlichen, alle Objekte (Benutzer, Gruppen, Computer) zu identifizieren, die berechtigt sind, dMSAs zu erstellen und diese Berechtigung ausschließlich auf vertrauenswürdige Administratoren zu beschränken.