Уязвимость в Windows Server 2025 позволяет атаковать Active Directory Исследователи Akamai обнаружили критическую уязвимость в Windows Server 2025, которая позволяет злоумышленникам эскалировать привилегии и компрометировать любого пользователя в Active Directory (AD). Уязвимость связана с новой функцией Delegated Managed Service Accounts (dMSA), добавленной в Windows Server 2025 для защиты от атак Kerberoasting. Однако её реализация создаёт риск эскалации привилегий. Как это работает? dMSA позволяет заменить устаревшие сервисные аккаунты, перенимая их права. Во время аутентификации Kerberos система передаёт не только SID нового dMSA, но и все SID старого аккаунта и его групп. Злоумышленник может создать поддельный dMSA, указав его как "наследника" любого пользователя (включая администраторов домена), и получить его права. Насколько это опасно? Атака тривиальна в исполнении и работает в конфигурации по умолчанию. В 91% проверенных сред есть пользователи с достаточными правами для её выполнения. Уязвимость получила название BadSuccessor. Что делает Microsoft? Компания оценила уязвимость как "умеренную" и пока не выпустила экстренный патч, так как для атаки нужны специфические права на объект dMSA. Однако исправление уже разрабатывается. Даже без активного использования dMSA домен Windows Server 2025 может быть уязвим. Организациям стоит проверить настройки AD и минимизировать риски.