Windows, Admin

Windows Admin Center: Kritische Lücke gibt Angreifern Systemrechte

17.12.2025 - 05:09:12

Windows Admin Center: Kritische Lücke gibt Angreifern Systemrechte - Foto: über boerse-global.de
Windows Admin Center: Kritische Lücke gibt Angreifern Systemrechte - Foto: über boerse-global.de

Ein schwerer Konfigurationsfehler in Microsofts Verwaltungstool ermöglichte es Standardnutzern, sich auf die höchste Berechtigungsstufe zu schalten. Das Update muss jetzt eingespielt werden.

Ein kritischer Sicherheitsfehler in Microsofts Windows Admin Center (WAC) bedroht die Integrität von Unternehmensnetzwerken weltweit. Die als CVE-2025-64669 bekannte Schwachstelle erlaubt es Angreifern mit einfachem Benutzerzugang, sich auf SYSTEM-Rechte hochzustufen – und damit die vollständige Kontrolle über einen Rechner zu erlangen. Microsoft hat diese Woche einen Patch bereitgestellt. IT-Verantwortliche müssen nun schnell handeln.

Der Fehler steckt in den Dateiberechtigungen eines zentralen Verzeichnisses. Forscher des Unternehmens Cymulate Research Labs entdeckten, dass der Ordner C:ProgramDataWindowsAdminCenter für Standardbenutzer beschreibbar war. Diese scheinbar kleine Lücke öffnet eine fatale Angriffskette.

Anzeige

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und was das konkret für Ihre Verwaltungs-Tools bedeutet. Der kostenlose Leitfaden erklärt, welche Sofortmaßnahmen IT-Verantwortliche jetzt priorisieren sollten: Patch-Strategien, strikte Berechtigungsprüfungen und gezieltes Monitoring von PowerShell-Aktivitäten. Praktische Checklisten helfen, kritische Lücken schnell zu schließen und seitliche Ausbreitung im Netzwerk zu verhindern. Jetzt kostenlosen Cyber-Security-Report herunterladen

Ein Angreifer mit lokalem Zugang kann eine schädliche Datei – etwa ein PowerShell-Skript – in dieses Verzeichnis kopieren. Startet anschließend ein Administrator eine Wartungsroutine im Windows Admin Center, führt das Tool diese Datei mit seinen hohen Systemrechten aus. Der Angreifer erlangt so die Kontrolle über den gesamten Rechner.

„Eine einzige Fehlkonfiguration kann die gesamte Windows-Sicherheitsgrenze einreißen“, erklärt Ilan Kalendarov, der Sicherheitsforscher bei Cymulate, der den Fehler aufdeckte. „Ein Standardbenutzer kann so alle lokalen Sicherheitskontrollen umgehen.“

Entdeckung und schnelle Reaktion von Microsoft

Cymulate meldete die Schwachstelle verantwortungsvoll an Microsoft, das sie im Rahmen der monatlichen Sicherheitsupdates vom Dezember 2025 behob. Microsoft stuft die Bedrohung mit einem CVSS-Score von 7,8 als hoch ein und belohnte die Entdecker mit einem Bug-Bounty.

Die Analyse zeigt ein klassisches Sicherheitsproblem: eine „Time-of-Check to Time-of-Use“-Lücke (TOCTOU). Obwohl das Admin Center nur signierte Skripte ausführen sollte, konnte ein Angreifer diese im beschreibbaren Verzeichnis durch eigene, bösartige Versionen ersetzen, bevor die Prüfung erfolgte.

Dringende Handlungsempfehlungen für Administratoren

Das Patch-Update ist verfügbar und muss priorisiert eingespielt werden. Betroffen sind alle Versionen des Windows Admin Center bis einschließlich Build 2.4.2.1 (Version 2411).

So schützen Sie Ihr System:
1. Sofort updaten: Installieren Sie die aktuelle Version 2412 oder höher über Microsoft Update.
2. Berechtigungen prüfen: Vergewissern Sie sich, dass die Benutzergruppe keine Schreibrechte im Ordner C:ProgramDataWindowsAdminCenter besitzt.
3. Logs überwachen: Achten Sie in den Systemprotokollen auf ungewöhnliche PowerShell-Aktivitäten oder Dateierstellungen in ProgramData.

Für den Fall, dass ein sofortiges Patchen nicht möglich ist, empfiehlt sich als Workaround die manuelle Einschränkung der Schreibrechte für den genannten Ordner. Microsoft betont jedoch, dass nur das vollständige Update alle Angriffsvektoren zuverlässig schließt.

Im Fadenkreuz: Verwaltungstools als neues Angriffsziel

Der Fall unterstreicht einen besorgniserregenden Trend: Cyberkriminelle zielen zunehmend auf die Tools ab, mit denen IT-Abteilungen ihre Infrastruktur verwalten. Das Windows Admin Center ist dabei ein besonders lukratives Ziel, da es oft als Brücke zwischen lokalen Servern und Azure-Cloud-Ressourcen dient.

Ein kompromittierter WAC-Server könnte es Angreifern ermöglichen, sich seitlich im Netzwerk auszubreiten und auf sensible Server, Cluster oder sogar Cloud-Abonnements zuzugreifen. „Ein Angreifer mit SYSTEM-Rechten auf einem Management-Gateway hält die Schlüssel zum Königreich in der Hand“, warnt ein Sicherheitsadvisory.

Lehren für die Zukunft: Zero-Trust auch intern

Der Vorfall ist eine deutliche Erinnerung daran, dass auch Standardkonfigurationen und vertrauenswürdige Admin-Tools regelmäßig überprüft werden müssen. Für IT-Verantwortliche bedeutet das:
* Patch-Management priorisieren: Kritische Verwaltungssoftware muss sofort aktualisiert werden.
* Berechtigungen validieren: Standardeinstellungen sind nicht automatisch sicher.
* Monitoring verschärfen: Verwaltungsserver müssen wie kritische Infrastruktur überwacht werden.

Microsoft kündigte an, die Berechtigungsmodelle in seiner Management-Suite umfassend zu überprüfen. Für Unternehmen bleibt die zentrale Lehre: Das „Zero-Trust“-Prinzip gilt auch innerhalb des eigenen Netzwerks.

Anzeige

PS: IT-Sicherheit lässt sich oft ohne teure Neueinstellungen deutlich verbessern. Das Gratis-E-Book „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen (inkl. Risiken durch Admin-Tools), neue Gesetze und konkrete Schutzmaßnahmen zusammen – ideal für Geschäftsführer und IT-Verantwortliche, die jetzt priorisieren müssen. Sofort umsetzbare Empfehlungen helfen, Ihre Verwaltungspfade sicherer zu machen. Jetzt Gratis-E-Book ‘Cyber Security Awareness Trends’ anfordern

@ boerse-global.de
Ausbildung zum erfolgreichen Börsenhändler