BadSuccessor 危險的 dMSA 權限

critical

語言:

說明

BadSuccessor 是 Active Directory 中的特權提升弱點，隨 Windows Server 2025 中的委派受管理服務帳戶 (dMSA) 功能引入。攻擊者可藉此建立或修改 dMSA 以繼承高特權目標的權限，進而可能導致整個網域遭到入侵。要利用此弱點，網域中需要至少有一個 Windows Server 2025 網域控制器。

解決方案

Microsoft 已針對 BadSuccessor 弱點 (編號：CVE-2025-53779) 發布修補程式。然而，即使系統已安裝修補程式，攻擊者仍可能會利用底層技術來潛伏或進行橫向移動，因此建議組織除了套用修補程式外，也限制僅信任的使用者才有權建立和修改 dMSA。

另請參閱

BadSuccessor: Abusing dMSA to Escalate Privileges in Active Directory

BadSuccessor Is Dead, Long Live BadSuccessor(?)

Delegated Managed Service Accounts overview

指標詳細資料

名稱: BadSuccessor 危險的 dMSA 權限

代碼名稱: C-BAD-SUCCESSOR

嚴重性: Critical

類型: Active Directory Indicator of Exposure

Family: 存取控制和權限

MITRE ATT&CK 資訊:

手法: TA0004 - 特權提升
- 技術: T1078 - 有效帳戶

攻擊者已知工具

mpgn: NetExec

Logan Goins: SharpSuccessor