یک آسیب‌پذیری جدید و خطرناک در Windows Server 2025 شناسایی شده که مهاجمان می‌توانند از آن برای ارتقاء سطح دسترسی و در نهایت کنترل کامل دامنه Active Directory (AD) سوءاستفاده کنند. این آسیب‌پذیری به قابلیت جدیدی به نام delegated Managed Service Account (dMSA) مربوط می‌شود که به‌طور پیش‌فرض در سرور فعال است و برای مهاجمان «اجرای آن ساده» توصیف شده است.

این نقص توسط پژوهشگر شرکت Akamai، یووال گوردون، کشف شده است. او روشی به نام BadSuccessor را توسعه داده که از این آسیب‌پذیری بهره‌برداری می‌کند. حتی اگر سازمانی از dMSA استفاده نکند، به‌محض وجود یک کنترل‌کننده دامنه با Windows Server 2025، این آسیب‌پذیری فعال خواهد بود. مهاجم فقط به یک مجوز ساده در یکی از Organizational Unitها نیاز دارد تا حمله را اجرا کند.

ماجرا از جایی آغاز می‌شود که dMSA برای جایگزینی حساب‌های قدیمی طراحی شده و طی فرآیند مهاجرت، مجوزهای حساب قبلی را به dMSA منتقل می‌کند. مشکلی که باعث بروز آسیب‌پذیری می‌شود، در فرآیند انتقال مجوزها و تکیه به یک ویژگی به نام msDA-ManagedAccountPrecededByLink برای تعیین حساب قبلی نهفته است. مهاجمان می‌توانند از این ویژگی سوءاستفاده کرده و به مجوزهای گسترده دست یابند.

به گفته گوردون، بهره‌برداری موفق از این آسیب‌پذیری به مهاجم اجازه می‌دهد به اطلاعات حساس، سیستم‌ها و نقاط انتهایی شبکه دسترسی کامل داشته باشد، بدون آنکه با محدودیت خاصی روبه‌رو شود. او تاکید کرده که این آسیب‌پذیری می‌تواند گام نخست برای رخدادهایی چون باج‌افزار و سرقت داده باشد.

مایکروسافت تاکنون وصله‌ای برای این آسیب‌پذیری منتشر نکرده و آن را در دسته «شدت متوسط» ارزیابی کرده است، بنابراین سازمان‌ها باید اقدامات پیشگیرانه انجام دهند. از جمله این اقدامات می‌توان به محدودسازی ایجاد dMSAها، بازبینی مجوزها، نظارت بر تغییرات و اجرای اسکریپت‌های بررسی مجوزها اشاره کرد.

Akamai اسکریپتی ارائه کرده که تمامی کاربران دارای مجوز برای ایجاد dMSA را شناسایی می‌کند. سازمان‌ها می‌توانند از آن برای ارزیابی سطح ریسک خود استفاده کرده و مجوزها را تنها به ادمین‌های مطمئن محدود کنند.