BadSuccessor 存在风险的 dMSA 权限

BadSuccessor 是 Active Directory 中的特权提升漏洞，与 Windows Server 2025 中的委派托管服务帐户 (dMSA) 功能一起引入。攻击者可利用该漏洞创建或修改 dMSA，以继承高特权目标的权限，从而可能导致整个域遭到入侵。要利用此漏洞，域中至少需要有一个 Windows Server 2025 域控制器。

截至 2025 年 5 月，Microsoft 尚未发布针对 BadSuccessor 漏洞的补丁，但正在进行修复。同时，组织应限制只有受信任的用户才有创建和修改 dMSA 的权限，或考虑将降级 Windows Server 2025 域控制器作为临时应对方案。

名称: BadSuccessor 存在风险的 dMSA 权限

代码名称: C-BAD-SUCCESSOR

严重性: Critical

类型: Active Directory Indicator of Exposure

Family: 访问控制和权限