Erfahren Sie in unserem kostenlosen Webinar am 18. November, wie die DEFENDERBOX Ihre IT-Infrastruktur sicherer macht. Jetzt hier anmelden!
DEFENDERBOX - Einfach. Schnell. Sicher.
Jetzt testen

Kritische Sicherheitslücke in Windows Server 2025

dMSA-Funktion öffnet Angreifern Tür ins Active Directory!

Forscher des Sicherheitsunternehmens Akamai haben eine gravierende Sicherheitslücke in Windows Server 2025 entdeckt, die potenziell jedes Unternehmen betrifft, das auf Active Directory (AD) setzt. Das Risiko: Angreifer können sich über die neue Funktion für delegierte Managed Service Accounts (dMSA) unbemerkt erhöhte Berechtigungen im Netzwerk verschaffen – und damit sensible Bereiche kompromittieren.

Unsere Empfehlung bei DEFENDERBOX:

Wir helfen, ausnutzbare Sicherheitslücken zu identifizieren! Wie? Finden Sie mit einer Testinstallation heraus, wie sicher Ihr Unternehmen ist! Jetzt zum Kennenlernpreis testen!

Was steckt hinter der Windows Sicherheitslücke?

Mit Windows Server 2025 wurde das dMSA-Feature eingeführt, das klassische Dienstkonten durch verwaltete, delegierbare Konten ersetzen soll. Die Idee: mehr Automatisierung, weniger Administrationsaufwand.

Doch genau hier liegt die Gefahr. Ein Angreifer benötigt nur minimale Berechtigungen in einer beliebigen Organisationseinheit (OU) des Active Directory – eine Konstellation, die in den meisten Unternehmensnetzwerken völlig unauffällig vorkommt. Selbst wenn das dMSA-Feature nicht aktiv genutzt wird, bleibt die Angriffsfläche bestehen, sobald ein Windows Server 2025 Domain Controller eingebunden ist.

Wer ist betroffen?

Laut Akamai sind 91 % der getesteten AD-Umgebungen potenziell angreifbar. In vielen Fällen verfügen normale Benutzer – ohne Administratorrechte – über ausreichend Berechtigungen, um dMSAs zu erstellen und sich damit Zugriff auf privilegierte Konten zu verschaffen. Eine gefährliche Lücke, die Unternehmen unbemerkt in ihren Systemen tragen.

Was können Unternehmen jetzt tun?

Bis Microsoft ein offizielles Sicherheitsupdate bereitstellt, sollten Unternehmen dringend handeln:

  • Überprüfen Sie, wer dMSAs erstellen darf.
    Beschränken Sie dieses Recht auf explizit vertrauenswürdige Admin-Konten.

  • Nutzen Sie das PowerShell-Skript von Akamai, um eine Liste aller Benutzer mit dMSA-Erstellungsrechten zu generieren. So lassen sich potenzielle Risiken gezielt identifizieren.

  • Dokumentieren und kontrollieren Sie Berechtigungen regelmäßig, insbesondere in hybriden oder komplexen AD-Strukturen.

  • Setzen Sie auf kontinuierliche Sicherheitsanalysen. Die DEFENDERBOX identifiziert genau solche potenziellen Sicherheitslücken – automatisiert, revisionssicher und ohne Unterbrechung Ihrer Systeme.

Fazit: Passive Sicherheit reicht nicht mehr aus

Die dMSA-Lücke zeigt einmal mehr, wie wichtig es ist, aktive Sicherheitsüberwachung und frühzeitige Erkennungpotenzieller Gefahren in den IT-Alltag zu integrieren. Was auf den ersten Blick wie ein Komfort-Feature wirkt, kann sich als massives Risiko für Ihre Infrastruktur entpuppen. Unternehmen sollten jetzt handeln – bevor Angreifer es tun.

Tipp: Mit der DEFENDERBOX erkennen Sie Sicherheitslücken, noch bevor sie öffentlich bekannt – und bevor sie ausgenutzt werden können. Jetzt hier mehr erfahren!

 

Wie angreifbar ist Ihr Unternehmen wirklich?

Finden Sie es heraus – mit der DEFENDERBOX.

  • Per Plug & Play installieren.
  • IT-Infrastruktur automatisch prüfen lassen.
  • Sicherheitslücken erkennen, bevor es andere tun und bevor es zu spät ist.
JETZT TESTEN
Managed Secutity Service

Ihre Cybersicherheit ist unser Auftrag! Automatisiertes Pentesting - höchster Managed Security Service speziell für den Mittelstand.

News
Startseite
de_DEDE
en_USEN de_DEDE