BadSuccessor の危険な dMSA アクセス許可

BadSuccessor は、Windows Server 2025 の委任管理サービスアカウント (dMSA) 機能によって導入された、Active Directory の権限昇格の脆弱性です。これにより、攻撃者は高い権限を持ったターゲットのアクセス許可を継承する dMSA を作成または変更することができ、完全なドメイン侵害につながる可能性があります。この脆弱性の悪用には、ドメイン内に少なくとも 1 つの Windows Server 2025 ドメインコントローラーが存在している必要があります。

Microsoft は、BadSuccessor の脆弱性 (CVE-2025-53779) のパッチを提供しました。ただしパッチを適用したシステムでも、この手法は持続性やラテラルムーブメントに依然として使用できるため、組織はパッチを適用し、さらに dMSA の作成および変更のアクセス許可を信頼できるユーザーのみに制限してください。

名前: BadSuccessor の危険な dMSA アクセス許可

コード名: C-BAD-SUCCESSOR

深刻度: Critical

タイプ: Active Directory Indicator of Exposure

Family: アクセスコントロールとアクセス許可