Vulnerabilidad en Windows Server 2025 permite escalada de privilegios vía dMSA

Una nueva vulnerabilidad de escalada de privilegios en Windows Server 2025 podría permitir que atacantes comprometan a cualquier usuario dentro de un entorno de Active Directory (AD), incluidos los administradores de dominio. El fallo está relacionado con una función recientemente introducida: las Cuentas de Servicio Administradas Delegadas (dMSA).

¿En qué consiste la vulnerabilidad?

La investigación, publicada por Yuval Gordon, experto en seguridad de Akamai, y compartida con The Hacker News, revela que el fallo puede ser explotado con la configuración predeterminada de Windows Server 2025, lo que lo convierte en un vector de ataque potencialmente masivo.

Citar"El ataque explota la función dMSA introducida en Windows Server 2025, funciona con la configuración por defecto y es trivial de implementar", explicó Gordon.

Según los análisis de Akamai, el 91% de los entornos evaluados presentaban usuarios fuera del grupo de administradores de dominio con los permisos necesarios para llevar a cabo el ataque.

¿Qué son las cuentas dMSA y por qué son un riesgo?

Las dMSA (Delegated Managed Service Accounts) fueron incorporadas en Windows Server 2025 como una solución para reemplazar cuentas de servicio tradicionales y mitigar ataques como el Kerberoasting. Estas cuentas permiten crear servicios administrados más seguros y con menor exposición de contraseñas.

Sin embargo, esta misma funcionalidad puede ser manipulada para crear una vía de ataque que ha sido bautizada por Akamai como BadSuccessor.

Citar"dMSA permite a los usuarios crear nuevas cuentas de servicio o reemplazar cuentas de servicio existentes. Durante este proceso, la autenticación se gestiona mediante la Autoridad de Seguridad Local (LSA) y el nuevo dMSA hereda todos los accesos previos", explica Microsoft en su documentación oficial.

El problema de seguridad: PAC y SIDs heredados

El problema se origina en la fase de autenticación Kerberos. Cuando un ticket de concesión de tickets (TGT) es emitido por el Centro de Distribución de Claves (KDC), el certificado de atributo de privilegio (PAC) incluido en el ticket contiene el identificador de seguridad (SID) de la nueva dMSA, así como los SIDs del usuario original y sus grupos asociados.

Esta transferencia de permisos no intencionada puede ser aprovechada por atacantes para simular una migración legítima de cuenta, escalando privilegios sin necesidad de tener control sobre la cuenta de origen. Incluso si una organización no utiliza dMSA, podría estar en riesgo.

Citar"Lo más preocupante es que esta técnica de migración simulada no requiere permisos sobre la cuenta reemplazada, solo permisos de escritura sobre los atributos de cualquier dMSA", advirtió Gordon.

Una vez configurada una dMSA como sucesora de un usuario, el KDC asume una migración válida y asigna todos los permisos del usuario anterior a la nueva cuenta, permitiendo incluso obtener privilegios comparables al derecho de replicación de cambios de directorio, usado comúnmente en ataques DCSync.

Respuesta de Microsoft y mitigaciones

Akamai notificó a Microsoft el 1 de abril de 2025. La compañía de Redmond clasificó el fallo como de gravedad moderada, ya que la explotación requiere permisos específicos sobre objetos dMSA. Sin embargo, se confirmó que un parche ya está en desarrollo.

Mientras tanto, no existe una solución inmediata, por lo que se recomienda a las organizaciones tomar medidas proactivas:

• Restringir la capacidad de crear dMSA a usuarios o grupos estrictamente necesarios.
• Endurecer permisos en unidades organizativas (OU).
• Auditar permisos CreateChild en Active Directory.
• Usar el script de PowerShell publicado por Akamai, el cual permite enumerar todas las entidades que pueden crear dMSA y las OU donde tienen permiso.

En fin, esta vulnerabilidad en Windows Server 2025 demuestra cómo incluso nuevas funciones de seguridad pueden ser explotadas si no se implementan con un control de permisos riguroso. El ataque BadSuccessor representa una amenaza crítica para entornos Active Directory, especialmente aquellos que aún no han auditado su uso de dMSA.

Se recomienda a todos los administradores de sistemas y responsables de ciberseguridad que evalúen de inmediato sus políticas de permisos y creación de cuentas de servicio, en espera de un parche oficial por parte de Microsoft.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta