since my company uses IC numbers as the unique CN, i got to see all my colleagues ICs which is a breach of personal information already.
Talvez você não deva usar o número IC então.
Firstly, is this considered a vulnerability?
Se é uma vulnerabilidade auto-infligida, uma vez que o Windows não faz isso sozinho. Você meio que criou seu próprio problema aqui.
Attacker will just need any user acct and since this is a smb share on the AD SYSVOL, any windows box connected to the domain can be used to exploit this.
Sim, como seria o caso de todo e qualquer dado e informação no domínio se alguém conseguisse obter acesso não autorizado ao seu domínio.