X-twitter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

BadSuccessor: una nueva vulnerabilidad en Windows Server 2025 permite comprometer dominios de Active Directory

Investigadores de Akamai descubren un fallo crítico en el uso de cuentas de servicio delegadas (dMSA) que expone a organizaciones con Windows Server 2025 a ataques de escalada de privilegios.

Una reciente investigación publicada por Yuval Gordon, experto en ciberseguridad de Akamai, ha sacado a la luz una grave vulnerabilidad en Windows Server 2025 que afecta a entornos de Active Directory. El fallo, denominado BadSuccessor, permite a un atacante escalar privilegios de forma silenciosa y obtener el control total del dominio, incluso sin necesidad de explotar fallos tradicionales o vulnerar credenciales.

La vulnerabilidad reside en el funcionamiento de las delegated Managed Service Accounts (dMSA), una nueva funcionalidad introducida por Microsoft para facilitar la gestión de cuentas de servicio. Sin embargo, según el informe, el mecanismo de migración de estas cuentas puede ser manipulado para heredar permisos de cualquier cuenta, incluidos administradores de dominio, sin requerir privilegios elevados.

Una escalada de privilegios sin tocar cuentas privilegiadas

BadSuccessor permite a cualquier usuario que tenga permisos para crear objetos dMSA —algo común en ciertos entornos con delegación mal configurada— vincular una nueva dMSA con cualquier otra cuenta del dominio (incluidos Domain Admins), simplemente modificando dos atributos:

  • msDS-ManagedAccountPrecededByLink: que establece la cuenta “heredada”.
  • msDS-DelegatedMSAState: que simula una migración completada.

Una vez establecido el vínculo, el Centro de Distribución de Claves (KDC), al generar el ticket de autenticación para la dMSA, añade los privilegios y grupos de la cuenta original al nuevo objeto, sin ningún tipo de validación adicional.

Impacto: desde un usuario no privilegiado hasta el control total del dominio

El ataque funciona incluso en dominios que no estén utilizando activamente dMSAs. Basta con que exista un controlador de dominio con Windows Server 2025. Esto amplía su alcance de forma masiva, ya que se trata de una configuración por defecto del sistema operativo.

Además de obtener privilegios administrativos, la vulnerabilidad también permite obtener claves criptográficas reutilizadas, lo que abre la puerta a la suplantación de identidad y acceso a largo plazo a sistemas y servicios dentro del dominio.

Microsoft lo reconoce, pero sin parche disponible

Akamai notificó a Microsoft en abril de 2025. La compañía reconoció el fallo, pero lo calificó como de riesgo moderado, argumentando que se requiere un permiso específico (CreateChild) que, según su criterio, implica ya un nivel elevado de privilegios. Por el momento, no se ha publicado un parche.

Desde Akamai, sin embargo, advierten que este permiso no es habitualmente considerado de alto riesgo, y que muchos entornos permiten su uso sin controles estrictos, lo que convierte la amenaza en algo difícil de detectar.

Cómo detectar y mitigar BadSuccessor

Mientras llega una corrección oficial, Akamai ha publicado una serie de recomendaciones para detectar y mitigar posibles abusos:

Detección:

  • Auditar la creación de dMSAs mediante el evento ID 5137.
  • Monitorizar cambios en el atributo msDS-ManagedAccountPrecededByLink con el evento ID 5136.
  • Revisar autenticaciones dMSA mediante eventos ID 2946, que revelan cuándo un TGT se genera con el paquete de claves heredado.

Mitigación:

  • Restringir estrictamente quién puede crear dMSAs, especialmente en contenedores y Unidades Organizativas (OUs).
  • Utilizar herramientas de auditoría para identificar todos los usuarios con permisos CreateChild sobre dMSAs.
  • Aplicar el principio de mínimo privilegio a la gestión de cuentas de servicio.

Conclusión

El caso BadSuccessor representa un ejemplo más de cómo nuevas funciones pensadas para simplificar la administración pueden convertirse en vectores de ataque críticos, si no se acompañan de controles adecuados. La capacidad de un atacante para escalar privilegios sin modificar grupos de seguridad, ni generar alertas comunes, lo convierte en un desafío especialmente complejo de detectar.

Las organizaciones que ya utilizan Windows Server 2025 deben revisar su configuración de Active Directory, limitar la delegación y aplicar medidas proactivas de vigilancia. Como recuerda Akamai en su informe, “no se necesita una vulnerabilidad para explotar un sistema, solo un comportamiento mal entendido”.

vía: Akamai

Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Noticias Cloud

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

BadSuccessor: una nueva vulnerabilidad en Windows Server 2025 permite comprometer dominios de Active Directory

El coste de la IA se dispara un 36 %, pero solo la mitad de las empresas sabe medir su rentabilidad, según CloudZero

Apple sufre una caída del 72 % en envíos desde China a EE. UU. debido a los aranceles impulsados por Trump

La convergencia entre IA y 5G redefine el futuro de las telecomunicaciones

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.