Schwachstelle in Windows Admin Center ermöglicht Systemzugriff

Sicherheitsforscher haben eine Schwachstelle in Microsofts Windows Admin Center identifiziert, die es Angreifern mit eingeschränkten Rechten ermöglicht, vollständige Systemkontrolle zu erlangen. Die unter CVE-2025-64669 registrierte Sicherheitslücke betrifft zahlreiche Unternehmensinstallationen und wurde im Dezember 2025 durch einen offiziellen Patch geschlossen. Administratoren sollten umgehend handeln.

Grundlegendes Sicherheitsproblem gefährdet Unternehmensnetzwerke

Das von Microsoft entwickelte Windows Admin Center gilt seit Jahren als zentrale Verwaltungslösung für IT-Administratoren, die komplexe Serverinfrastrukturen betreuen. Eine nun bekannt gewordene Schwachstelle stellt jedoch die Sicherheit dieser weitverbreiteten Plattform infrage. Sicherheitsexperten von Cymulate Research Labs identifizierten eine kritische Lücke, die Angreifern mit lokalem Zugang die Möglichkeit bietet, ihre Berechtigungen bis zur höchsten Systemebene auszuweiten.

Betroffen sind sämtliche Installationen bis einschließlich Version 2.4.2.1 sowie Systeme mit WAC 2411 oder früher. Die Problematik gewinnt besonders in hybriden Cloud-Umgebungen an Brisanz, wo Remote-Management-Funktionen unverzichtbar geworden sind. Microsoft hat die Schwachstelle mit einem CVSS-Score von 7,8 bewertet und damit deren hohe Gefährlichkeit unterstrichen.

Technische Grundlage der Sicherheitslücke

Die Ursache des Problems liegt in fehlerhaften Zugriffsberechtigungen innerhalb der Standardinstallation. Der Ordner C:\ProgramData\WindowsAdminCenter weist Schreibrechte für alle Standardbenutzer auf – eine Konfiguration, die normalerweise keine unmittelbare Gefahr darstellen würde. Problematisch wird dies jedoch dadurch, dass in diesem Verzeichnis privilegierte Prozesse ablaufen, die mit SYSTEM-Rechten ausgeführt werden.

Ein Angreifer, der bereits über ein kompromittiertes Benutzerkonto verfügt, kann diese Konstellation ausnutzen. Das Bedrohungsszenario umfasst sowohl externe Angreifer, die über andere Schwachstellen Zugang erlangt haben, als auch potenzielle Insider-Bedrohungen. Die Ausnutzung erfordert weder Netzwerkzugriff noch Interaktion mit anderen Benutzern.

Zwei dokumentierte Angriffsvektoren

Die Cymulate-Forscher dokumentierten zwei verschiedene Methoden zur Ausnutzung der Schwachstelle. Der erste Angriffsvektor nutzt den Deinstallationsmechanismus für Erweiterungen. Durch Reverse Engineering der .NET-basierten WAC-Binärdateien identifizierten die Experten, dass das System PowerShell-Skripte aus bestimmten Verzeichnissen mit erhöhten Rechten ausführt, sofern diese digital signiert sind.

Ein Angreifer kann einen eigenen Deinstallationsordner innerhalb der Erweiterungsstruktur anlegen und dort signierte Skripte platzieren. Bei Auslösung des Deinstallationsprozesses über die WAC-Oberfläche werden diese mit NETWORK SERVICE- oder SYSTEM-Berechtigungen ausgeführt.

Die zweite Methode basiert auf DLL-Hijacking im Updater-Prozess. Der WindowsAdminCenterUpdater lädt Bibliotheken aus dem beschreibbaren Verzeichnis, ohne deren Herkunft ausreichend zu validieren. Durch Ausnutzung einer Time-of-Check-Time-of-Use-Schwachstelle können Angreifer eine manipulierte DLL während des Update-Vorgangs einschleusen, die dann mit SYSTEM-Rechten geladen wird.

Grafik Quelle: Cymulate Research Labs

Weitreichende Auswirkungen für Unternehmen

Windows Admin Center findet in zahlreichen Organisationen Anwendung – von kleineren Betrieben mit wenigen Servern bis zu internationalen Konzernen mit komplexen hybriden Infrastrukturen. Das Tool dient zur Überwachung von Servern, Verwaltung virtueller Maschinen und Ausführung von PowerShell-Skripting-Aufgaben. Eine Kompromittierung auf dieser Ebene kann sich kaskadenförmig auf gesamte Netzwerkumgebungen auswirken.

Die Gefährdung erstreckt sich über alle Implementierungsszenarien: WAC-Gateways, integrierte Erweiterungen, privilegierte Verwaltungsworkflows und Windows Server-Hosts mit WAC-Installation sind gleichermaßen betroffen. Jede Bereitstellung, bei der das Tool zur Infrastrukturverwaltung eingesetzt wird, unterliegt diesem Risiko.

Verantwortungsvolle Offenlegung und Gegenmaßnahmen

Cymulate meldete die Schwachstelle am 5. August 2025 über den Microsoft Security Response Center. Microsoft bestätigte das Problem Ende August und würdigte die Entdeckung mit einer Prämie von 5.000 US-Dollar. Die Zuweisung der CVE-Kennung erfolgte im November, der offizielle Patch wurde am 10. Dezember 2025 im Rahmen des monatlichen Patch Tuesday veröffentlicht.

Cymulate hat zudem ein Validierungsszenario in seine Exposure Validation Platform integriert. Kunden können damit überprüfen, ob ihre SIEM- und Endpunktsicherheitssysteme die Ausnutzung dieser Schwachstelle korrekt detektieren würden.

Handlungsempfehlungen für IT-Verantwortliche

Administratoren sollten unverzüglich die verfügbaren Updates installieren. Systeme, die weiterhin mit ungepatchten Versionen betrieben werden, bleiben angreifbar. Die Installation des Dezember-2025-Updates schließt diese und weitere identifizierte Sicherheitslücken.

Ergänzend empfiehlt sich eine Überprüfung der Zugriffsrechte auf kritische Systemverzeichnisse sowie eine Analyse der Logs auf verdächtige Aktivitäten im Zusammenhang mit Erweiterungs-Deinstallationen oder Update-Prozessen. Organisationen sollten zudem ihre Erkennungssysteme entsprechend konfigurieren, um potenzielle Ausnutzungsversuche frühzeitig zu identifizieren.

Die Entdeckung unterstreicht erneut, dass selbst etablierte Verwaltungstools kontinuierlicher Sicherheitsüberprüfung bedürfen. Während Microsoft zeitnah reagierte, verdeutlicht der Vorfall die Notwendigkeit mehrschichtiger Sicherheitskonzepte in Unternehmensumgebungen.

Technische Details:

• CVE-ID: CVE-2025-64669
• CVSS-Score: 7.8 (Hoch)
• Betroffene Versionen: Windows Admin Center bis 2.4.2.1 / WAC 2411 und früher
• Patch verfügbar seit: 10. Dezember 2025
• Angriffsvektor: Lokal
• Erforderliche Berechtigungen: Niedrig
• Benutzerinteraktion: Nicht erforderlich

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Empfehlung:

---

Bild/Quelle: https://depositphotos.com/de/home.html