{"id":10730,"date":"2025-05-22T11:31:00","date_gmt":"2025-05-22T17:31:00","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10730"},"modified":"2025-05-22T11:31:01","modified_gmt":"2025-05-22T17:31:01","slug":"alerta-2025-46-falla-critica-en-windows-server-2025","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-46-falla-critica-en-windows-server-2025\/","title":{"rendered":"Alerta 2025-46-Falla Cr\u00edtica en Windows Server 2025"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Sistema operativo: Microsoft Windows Server 2025<\/li>\n\n\n\n<li>Componente vulnerable: Active Directory \u2013 Mecanismo de autenticaci\u00f3n Kerberos \/ dMSA (Delegated Managed Service Accounts)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha identificado una vulnerabilidad cr\u00edtica de <strong>escalada de privilegios<\/strong> en <strong>Windows Server 2025<\/strong>, relacionada con la nueva funci\u00f3n de <strong>Cuentas de Servicio Administradas Delegadas (dMSA)<\/strong>. Esta falla, descubierta por el investigador Yuval Gordon de Akamai, permite a un atacante con privilegios limitados en Active Directory suplantar la identidad de <strong>cualquier cuenta<\/strong>, incluyendo administradores de dominio. El ataque, llamado <strong>BadSuccessor<\/strong>, <strong>funciona por defecto<\/strong>, <strong>no requiere el uso activo de dMSA<\/strong> en el entorno y <strong>es explotable mediante un m\u00f3dulo p\u00fablico de Metasploit<\/strong>. Microsoft ha reconocido la falla, pero <strong>a\u00fan no ha publicado un parche oficial<\/strong>.<\/p>\n\n\n\n<p>Las <strong>dMSA<\/strong> son un nuevo tipo de cuenta de servicio introducida en Windows Server 2025. Est\u00e1n dise\u00f1adas para facilitar la migraci\u00f3n de cuentas de servicio no administradas (como cuentas de usuario est\u00e1ndar usadas como servicios) hacia una soluci\u00f3n m\u00e1s segura y administrada. Las dMSA heredan configuraciones y permisos de cuentas antiguas mediante un atributo de AD llamado msDS-ManagedAccountPrecededByLink.<\/p>\n\n\n\n<p>Esta caracter\u00edstica, pensada para facilitar migraciones, se convierte en el centro de la vulnerabilidad.<\/p>\n\n\n\n<p>El problema radica en que, durante la migraci\u00f3n a una dMSA, <strong>el KDC (Centro de Distribuci\u00f3n de Claves)<\/strong> copia autom\u00e1ticamente los privilegios y claves de la cuenta \u201creemplazada\u201d a la nueva dMSA, <strong>bas\u00e1ndose \u00fanicamente en un v\u00ednculo de atributo<\/strong> (msDS-ManagedAccountPrecededByLink). Este atributo <strong>puede ser modificado por cualquier usuario que tenga permisos de creaci\u00f3n de objetos en una Unidad Organizativa (OU)<\/strong>.<\/p>\n\n\n\n<p>Esto significa que <strong>un atacante con permisos menores<\/strong>, como \u201cCrear objetos secundarios\u201d en una OU, puede crear una dMSA y vincularla a <strong>cualquier cuenta del dominio<\/strong>, incluyendo un administrador de dominio. Una vez hecho esto, al autenticarse con la nueva dMSA, el sistema le otorgar\u00e1 todos los privilegios de la cuenta original, incluyendo los <strong>tickets de Kerberos (TGT)<\/strong> y, en algunos casos, <strong>las claves criptogr\u00e1ficas de la cuenta suplantada<\/strong>.<\/p>\n\n\n\n<p>Este ataque no requiere acceso privilegiado ni herramientas especiales, solo el uso de cmdlets est\u00e1ndar como New-ADServiceAccount o herramientas como <strong>Rubeus<\/strong>, que ahora soporta autenticaci\u00f3n con dMSA. Es decir, con solo dos cambios de atributos en AD, un atacante puede comprometer por completo un dominio.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p><strong>Detecci\u00f3n<\/strong><\/p>\n\n\n\n<p>Se recomienda a las organizaciones implementar los siguientes controles de monitoreo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Auditor\u00eda de creaci\u00f3n de objetos dMSA (Evento 5137):<\/strong> Configure una SACL en el dominio para registrar la creaci\u00f3n de objetos del tipo msDS-DelegatedManagedServiceAccount. Preste atenci\u00f3n a cuentas que normalmente no deber\u00edan estar creando cuentas de servicio.<\/li>\n\n\n\n<li><strong>Monitoreo de modificaciones al atributo msDS-ManagedAccountPrecededByLink (Evento 5136):<\/strong> Este cambio es clave para el ataque. Cualquier modificaci\u00f3n debe ser considerada altamente sospechosa.<\/li>\n\n\n\n<li><strong>Detecci\u00f3n de autenticaciones de dMSA (Evento 2946):<\/strong> Cuando una dMSA se autentica, el controlador de dominio genera este evento. Si se observa un aumento inesperado o autenticaciones de dMSA poco comunes, debe investigarse.<\/li>\n\n\n\n<li><strong>Revisi\u00f3n de permisos en OUs:<\/strong> Identifique usuarios o grupos que tengan permisos excesivos en OUs, especialmente aquellos que permiten la creaci\u00f3n de objetos. En muchos entornos estos permisos se delegan por conveniencia, sin considerar el impacto en seguridad.<\/li>\n<\/ul>\n\n\n\n<p><strong>Mitigaci\u00f3n recomendada (mientras no haya parche)<\/strong><\/p>\n\n\n\n<p>Hasta que Microsoft libere un parche oficial, se recomienda lo siguiente:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Auditar los permisos en todas las Unidades Organizativas (OU):<\/strong> Identifique todos los usuarios o grupos que tengan la capacidad de crear objetos dMSA. Esto puede hacerse con scripts de PowerShell disponibles p\u00fablicamente (como el publicado por Akamai).<\/li>\n<\/ol>\n\n\n\n<figure class=\"wp-block-embed\"><div class=\"wp-block-embed__wrapper\">\nhttps:\/\/github.com\/akamai\/BadSuccessor\n<\/div><\/figure>\n\n\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li><strong>Restringir la creaci\u00f3n de dMSA a administradores de confianza:<\/strong> Aseg\u00farese de que solo cuentas de administraci\u00f3n autorizadas puedan crear dMSAs. Elimine estos permisos de cualquier otra cuenta o grupo.<\/li>\n\n\n\n<li><strong>Supervisar cambios en atributos sensibles:<\/strong> Especialmente el atributo msDS-ManagedAccountPrecededByLink, ya que su modificaci\u00f3n es la base del ataque BadSuccessor.<\/li>\n\n\n\n<li><strong>Implementar alertas de eventos clave (5136, 5137, 2946):<\/strong> Integre estos eventos en su SIEM para facilitar la detecci\u00f3n en tiempo real.<\/li>\n\n\n\n<li><strong>Capacitar al personal de administraci\u00f3n de AD:<\/strong> Aseg\u00farese de que los equipos de infraestructura comprendan los riesgos asociados con permisos excesivos o mal configurados en Active Directory.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/www.akamai.com\/blog\/security-research\/abusing-dmsa-for-privilege-escalation-in-active-directory\">https:\/\/www.akamai.com\/blog\/security-research\/abusing-dmsa-for-privilege-escalation-in-active-directory<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/ad-ds\/manage\/delegated-managed-service-accounts\/delegated-managed-service-accounts-overview\">https:\/\/learn.microsoft.com\/en-us\/windows-server\/identity\/ad-ds\/manage\/delegated-managed-service-accounts\/delegated-managed-service-accounts-overview<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":10731,"template":"","class_list":["post-10730","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10730","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10730\/revisions"}],"predecessor-version":[{"id":10733,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10730\/revisions\/10733"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10731"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10730"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}