Uma falha crítica de escalonamento de privilégios foi identificada no Windows Server 2025, permitindo que invasores comprometam qualquer usuário no Active Directory (AD). A vulnerabilidade explora a nova funcionalidade “Delegated Managed Service Account” (dMSA), ativada por padrão e fácil de explorar, segundo o pesquisador de segurança Yuval Gordon, da Akamai.  A falha, apelidada de BadSuccessor, está presente em 91% dos ambientes analisados pela empresa, nos quais usuários fora do grupo de administradores de domínio possuíam permissões suficientes para executar o ataque.

A funcionalidade dMSA foi introduzida como resposta a ataques do tipo Kerberoasting e permite substituir contas de serviço legadas por contas gerenciadas delegadas. O problema ocorre durante a autenticação Kerberos. Quando um ticket é emitido pelo KDC (Key Distribution Center), ele inclui o identificador de segurança (SID) do dMSA, além dos SIDs da conta substituída e de seus grupos associados. Isso permite que um invasor simule o processo de migração, sem precisar de permissões sobre a conta original, apenas a capacidade de alterar atributos de qualquer dMSA.

Assim, o KDC reconhece o dMSA como legítimo sucessor e concede automaticamente todas as permissões da conta anterior, até mesmo de administradores de domínio. Isso expõe a organização a um comprometimento total do domínio, mesmo sem uso ativo de dMSAs. A Akamai notificou a Microsoft em 1º de abril de 2025. A empresa classificou o problema como moderado, por exigir permissões específicas, mas confirmou que um patch está em desenvolvimento. Enquanto isso, recomenda-se limitar a criação de dMSAs e reforçar as permissões. A Akamai também disponibilizou um script PowerShell que identifica quem pode criar dMSAs e em quais unidades organizacionais.