Gefährliche dMSA-Berechtigungen durch BadSuccessor

BadSuccessor ist eine Rechteausweitungs-Schwachstelle in Active Directory, die mit der Funktion für delegierte verwaltete Dienstkonten (delegated Managed Service Accounts, dMSAs) in Windows Server 2025 eingeführt wurde. Sie ermöglicht es Angreifern, ein dMSA zu erstellen oder zu ändern, um die Berechtigungen eines Ziels mit hohen Berechtigungen zu erben, was zu einer Kompromittierung der gesamten Domäne führen kann. Für die Ausnutzung ist mindestens ein Windows Server 2025-Domänencontroller in der Domäne erforderlich.

Mit Stand Mai 2025 hatte Microsoft die BadSuccessor-Schwachstelle noch nicht gepatcht, arbeitete jedoch an einer Lösung. In der Zwischenzeit sollten Organisationen die Berechtigungen zum Erstellen und Ändern von dMSAs auf vertrauenswürdige Benutzer beschränken oder als vorübergehende Problemumgehung eine Herabstufung von Windows Server 2025-Domänencontrollern in Betracht ziehen.

Name: Gefährliche dMSA-Berechtigungen durch BadSuccessor

Codename: C-BAD-SUCCESSOR

Schweregrad: Critical

Typ: Active Directory Indicator of Exposure