BadSuccessor 存在风险的 dMSA 权限

critical

语言：

描述

BadSuccessor 是 Active Directory 中的特权提升漏洞，与 Windows Server 2025 中的委派托管服务帐户 (dMSA) 功能一起引入。攻击者可利用该漏洞创建或修改 dMSA，以继承高特权目标的权限，从而可能导致整个域遭到入侵。要利用此漏洞，域中至少需要有一个 Windows Server 2025 域控制器。

解决方案

Microsoft 已对 BadSuccessor 漏洞进行了修复，编号为 CVE-2025-53779。然而，由于该技术仍可在已修补的系统上用于持久化或横向移动，各组织仍应应用补丁，并将 dMSA 的创建和修改权限限制为受信任的用户。

另见

BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory

BadSuccessor Is Dead, Long Live BadSuccessor(?)

Delegated Managed Service Accounts overview

指标详细信息

名称: BadSuccessor 存在风险的 dMSA 权限

代码名称: C-BAD-SUCCESSOR

严重性: Critical

类型: Active Directory Indicator of Exposure

Family: 访问控制和权限

MITRE ATT&CK 信息:

策略: TA0004 - 特权提升
- 技术: T1078 - 有效帐户

攻击者已知工具

mpgn: NetExec

Logan Goins: SharpSuccessor