O Escritório Federal de Segurança da Informação da Alemanha (BSI) publicou um alerta sobre uma falha crítica no Active Directory do Windows Server 2025, classificando sua gravidade como 9,9 de 10. A vulnerabilidade, não corrigida, permite a escalada de privilégios e afeta diretamente a segurança de domínios gerenciados por esse sistema.
Leia também
DanaBot desativado, operação global apreende cryptos
IA soberana é o próximo desafio em tecnologia
Segundo a Akamai, que identificou a falha e a apelidou de BadSuccessor, o problema está no uso da Conta de Serviço Gerenciada Delegada (dMSA), introduzida com configuração padrão no Windows Server 2025. A empresa afirma que o ataque é simples de executar e pode ser iniciado por qualquer usuário com controle sobre um objeto dMSA, o que pode resultar no comprometimento completo do domínio.
A Microsoft classificou inicialmente o problema como de gravidade moderada e não atribuiu um identificador CVE. No entanto, o BSI e especialistas como Florian Roth discordam, alertando que, em testes, 91% dos ambientes analisados possuíam usuários com as permissões necessárias para executar o ataque. Roth criticou a divulgação pública sem patch e a falta de prioridade da Microsoft em relação ao Active Directory local.
Apesar das críticas, a Akamai informou que a Microsoft revisou e aprovou a publicação da pesquisa. O Windows Server 2025 está disponível desde novembro de 2024, mas sua adoção ainda é limitada. Como medida de mitigação, a Akamai recomenda restringir a criação de dMSAs exclusivamente a administradores confiáveis.
