Akamai の研究者は、BadSuccessor（CVE-2025-53779）として知られる脆弱性に対する Microsoft のパッチを分析し、その有効性を評価しました。

このパッチは BadSuccessor に関連するリスクの大部分を緩和するのに有効だが、この手法は現在も有効であり、特定のシナリオでは引き続き問題であると Akamai は結論付けました。

このブログ記事では、同じ BadSuccessor の原理を利用する 2 つの手法について詳しく説明します。攻撃者は、これらの手法を使用することで、認証情報をダンプしてユーザーアカウントを侵害できてしまいます。

DEF CON 2025 において、私たちは BadSuccessor をテーマにプレゼンテーションを行いました。これは、Windows Server 2025 の新しいアカウントタイプである委任管理サービスアカウント（dMSA）を悪用する Active Directory（AD）の脆弱性です。この脆弱性を利用することで、権限の低いユーザーが一気にドメイン管理者に上りつめることができます。

それから 1 週間も経たずして、Microsoft はその脆弱性に CVE-2025-53779 という識別番号を割り当て、パッチを配信しました。このパッチにより、直接のエスカレーションを可能にするパスは断たれました。

このブログ記事では、このパッチを分析して、何が変更されたのか、何が変更されなかったのかを説明します。また、BadSuccessor は今後即座にエスカレーションすることはできなくなりましたが、その基盤となる仕組みは依然として問題であることを示します。

これまでの経緯をご存知ない方は、BadSuccessor に関する以前のブログ記事をお読みください。