Eveline Meijer - 21 juli 2025

Kritieke fout Windows Server 2025 geeft aanvallers toegang tot managed service accounts

AI-beveiligingsbedrijf Semperis heeft een kritieke fout gevonden in Windows Server 2025. Het gaat om een kwetsbaarheid in de Managed Service Accounts (dMSAa), waarmee aanvallers voor onbepaalde tijd toegang krijgen tot alle managed service-accounts en de bijbehorende middelen. Ook kunnen aanvallers zich lateraal door domeinen heen bewegen.

Security Windows Cybercrime

Kritieke fout Windows Server 2025 geeft aanvallers toegang tot managed service accounts image

Semperis doopt de aanval die via de kwetsbaarheid mogelijk is Golden dMSA. Onderzoeker Adi Malyanker stelt in het onderzoeksrapport dat de kwetsbaarheid het veel eenvoudiger maakt om wachtwoorden van dMSAa's te raden via een brute-force-aanval. Dat zou slechts 1024 pogingen vereisen. Eenmaal binnen kunnen de aanvallers 'onopgemerkt in Active Directory-omgevingen aanwezig blijven'.

Aanvallers moeten echter al wel een root key hebben van de Key Distribution Service, die normaal gesproken alleen beschikbaar is voor bijvoorbeeld administrator- en system-accounts. Mocht een aanvaller erin slagen om deze in handen te krijgen, dan wordt daar het cryptografische materiaal uit gehaald dat de fundering vormt voor alle wachtwoorden van dMSAa's. Vervolgens worden de aanwezige accounts in kaart gebracht en de juiste ManagedPasswordId-kenmerken geïdentificeerd. Als dat gelukt is, worden de wachtwoorden gegenereerd en kunnen de aanvallers het account in.

Detectie is ingewikkeld

Detectie van de aanval is volgens Malyanker ingewikkeld, omdat er geen security-logs worden aangemaakt als KDS-sleutels in verkeerde handen vallen. Beheerders moeten dus handmatig System Access Control Lists configureren om te achterhalen of deze door aanvallers worden gebruikt. Wel kunnen organisaties monitoren of er een abnormale hoeveelheid authenticatieverzoeken voor serviceaccounts of ongebruikelijke Ticket-Granting Ticket-aanvragen voor dMSA-accounts plaatsvinden.

Malyanker heeft daarnaast een tool ontwikkelt die onderzoekers en securityprofessionals moet helpen begrijpen hoe het aanvalsmechanisme werkt. Deze tool, genaamd GolderDMSA, bevat de logica van de aanval en laat gebruikers de aanval simuleren, zodat zij kunnen verkennen hoe deze mogelijk in daadwerkelijke omgevingen ingezet kan worden.

Semperis heeft de kwetsbaarheid op 27 mei bij het Microsoft Security Response Center gemeld. Op 8 juli reageerde Microsoft daar volgens Semperis op. Het bedrijf schrijft: "Als je de geheimen hebt die gebruikt worden om de sleutel aan te maken, dan kun je jezelf authenticeren als die gebruiker. Deze functies zijn nooit bedoeld geweest om te beschermen tegen het compromitteren van een domeincontroller."

Tip de redactie

MSP Show 18/06/2025 t/m 31/07/2025 BN + BW

Meer over Security

Nieuws - Witold Kepinski - 21-07-2025

OM: werk mogelijk komende weken nog verstoord

Overheid, juridisch, Security,

Nieuws - Eveline Meijer - 21-07-2025

Microsoft dicht actief misbruikte kwetsbaarheden in SharePoint Server met nieuwe patches

Security, microsoft, Software, cybersecurity, sharepoint

People - Witold Kepinski - 21-07-2025

Coro benoemt Joe Sykora tot nieuwe CEO om groei te versnellen

Security, cybersecurity, People, management,

Alles over Security

Over Eveline Meijer

Als freelance redacteur bij Dutch IT Media ondersteun ik de redactie waar ik kan. Van complexe techonderwerpen tot kort nieuws, ik ben van alle markten thuis.

Maar mijn persoonlijke interesses liggen met name bij AI, security, privacy, softwareontwikkeling en de arbeidsmarkt. In mijn vrije tijd game ik ook graag.

Auteur pagina

Kritieke fout Windows Server 2025 geeft aanvallers toegang tot managed service accounts

Detectie is ingewikkeld

Meer van Security

Dutch IT events

Meer over Security

Over Eveline Meijer

Wil jij dagelijkse updates?