Autorisations dMSA dangereuses BadSuccessor

BadSuccessor est une vulnérabilité d'élévation de privilèges dans Active Directory, introduite avec la fonctionnalité des comptes de service administrés délégués (dMSA) dans Windows Server 2025. Elle permet aux attaquants de créer ou de modifier un dMSA pour hériter des autorisations d'une cible disposant de privilèges élevés, ce qui peut mener à une compromission totale du domaine. L'exploitation nécessite au moins un contrôleur de domaine Windows Server 2025 dans le domaine.

En mai 2025, Microsoft n'avait pas encore corrigé la vulnérabilité BadSuccessor, mais travaillait sur un correctif. En attendant, les organisations doivent limiter les autorisations de création et de modification de dMSA aux utilisateurs de confiance ou envisager de rétrograder les contrôleurs de domaine Windows Server 2025 pour contourner temporairement le problème.

Nom: Autorisations dMSA dangereuses BadSuccessor

Nom de code: C-BAD-SUCCESSOR

Sévérité: Critical

Type: Active Directory Indicator of Exposure