BadSuccessor 危險的 dMSA 權限

BadSuccessor 是 Active Directory 中的特權提升弱點，隨 Windows Server 2025 中的委派受管理服務帳戶 (dMSA) 功能引入。攻擊者可藉此建立或修改 dMSA 以繼承高特權目標的權限，進而可能導致整個網域遭到入侵。要利用此弱點，網域中需要至少有一個 Windows Server 2025 網域控制器。

截至 2025 年 5 月，Microsoft 尚未修補 BadSuccessor 弱點，但已著手進行修復。同時，組織應將 dMSA 建立和修改權限限制為受信任的使用者，或考慮將 Windows Server 2025 網域控制器降級作為臨時解決方案。

名稱: BadSuccessor 危險的 dMSA 權限

代碼名稱: C-BAD-SUCCESSOR

嚴重性: Critical

類型: Active Directory Indicator of Exposure

Family: 存取控制和權限