BadSuccesor 위험한 dMSA 권한

BadSuccesor는 Active Directory의 권한 상승 취약성으로, Windows Server 2025의 위임 관리형 서비스 계정(dMSA) 기능과 함께 도입되었습니다. 이를 통해 공격자가 dMSA를 만들거나 수정하여 권한이 높은 대상의 권한을 상속할 수 있으며, 이로 인해 도메인 전체가 손상될 가능성이 있습니다. 악용이 가능하려면 도메인에 하나 이상의 Windows Server 2025 도메인 컨트롤러가 있어야 합니다.

Microsoft는 2025년 5월 현재 BadSuccesor 취약성을 패치하지 않았지만 수정 작업을 진행했습니다. 한편, 조직은 신뢰할 수 있는 사용자에게로 dMSA 생성 및 수정 권한을 제한하거나 일시적인 해결 방법으로 Windows Server 2025 도메인 컨트롤러의 강등을 고려해야 합니다.

이름: BadSuccesor 위험한 dMSA 권한

코드명: C-BAD-SUCCESSOR

심각도: Critical

유형: Active Directory Indicator of Exposure

Family: 액세스 제어 및 권한