Pesquisadores da Akamai analisaram o patch da Microsoft para a vulnerabilidade conhecida como BadSuccessor (CVE-2025-53779) para avaliar sua eficácia.

Concluímos que, embora o patch tenha sido eficaz na mitigação de uma parte significativa do risco associado ao BadSuccessor, a técnica permanece ativa e relevante em determinados cenários.

Nesta publicação no blog, detalhamos duas técnicas que dependem dos mesmos princípios do BadSuccessor e podem permitir que os invasores extraiam credenciais e comprometam contas de usuários.

Na DEF CON 2025, apresentamos a história do BadSuccessor, uma vulnerabilidade do Active Directory (AD) que abusa do novo tipo de conta do Windows Server 2025: as contas de serviço gerenciado delegadas (dMSAs). A vulnerabilidade permite que um usuário com poucos privilégios escale diretamente para Domain Admin.

Menos de uma semana depois , a Microsoft atribuiu o identificador CVE-2025-53779 à vulnerabilidade e lançou um patch. O caminho de escalonamento direto foi fechado.

Nesta publicação do blog, vamos analisar o patch, explicar o que mudou, o que não mudou e mostrar que, embora o BadSuccessor não forneça mais escalonamento instantâneo, sua mecânica subjacente ainda importa.

Se você perdeu a história original, leia nossa publicação anterior do blog sobre o BadSuccessor.