BadSuccessor の危険な dMSA アクセス許可

BadSuccessor は、Windows Server 2025 の委任管理サービスアカウント (dMSA) 機能によって導入された、Active Directory の権限昇格の脆弱性です。これにより、攻撃者は高い権限を持ったターゲットのアクセス許可を継承する dMSA を作成または変更することができ、完全なドメイン侵害につながる可能性があります。この脆弱性の悪用には、ドメイン内に少なくとも 1 つの Windows Server 2025 ドメインコントローラーが存在している必要があります。

Microsoft は 2025 年 5 月の時点で、BadSuccessor の脆弱性にパッチをリリースしていませんが、修正には取り組んでいます。一方、組織は dMSA の作成および変更アクセス許可を信頼できるユーザーに制限するか、一時的な回避策として Windows Server 2025 ドメインコントローラーの削除を検討する必要があります。

名前: BadSuccessor の危険な dMSA アクセス許可

コード名: C-BAD-SUCCESSOR

深刻度: Critical

タイプ: Active Directory Indicator of Exposure

Family: アクセスコントロールとアクセス許可