Investigadores de Akamai han identificado una vulnerabilidad crítica en Windows Server 2025 que afecta a los entornos de Active Directory y expone a las organizaciones a riesgos significativos de seguridad. La investigación, liderada por Yuval Gordon, revela un fallo denominado "BadSuccessor", que permite escalar privilegios silenciosamente sin necesidad de explotar vulnerabilidades tradicionales o comprometer credenciales.
El problema radica en las "delegated Managed Service Accounts" (dMSA), una funcionalidad de Microsoft diseñada para facilitar la gestión de cuentas de servicio. Según el informe, el mecanismo de migración de estas cuentas puede manipularse para heredar permisos de cualquier cuenta, incluidos los administradores de dominio, sin requerir privilegios elevados.
BadSuccessor permite a un usuario con permisos para crear objetos dMSA vincular una nueva dMSA con cualquier otra cuenta del dominio, incluidos Domain Admins, simplemente modificando los atributos msDS-ManagedAccountPrecededByLink y msDS-DelegatedMSAState. Este cambio engaña al Centro de Distribución de Claves (KDC) para que añada los privilegios y grupos de la cuenta original a un nuevo objeto, sin validación adicional.
El alcance del problema es significativo, afectando incluso a dominios que no utilizan activamente dMSAs, siempre que haya un controlador de dominio con Windows Server 2025. Esto permite a los atacantes no solo obtener privilegios administrativos, sino también acceder a claves criptográficas reutilizadas, facilitando la suplantación de identidad y el acceso prolongado a sistemas dentro del dominio.
A pesar de la gravedad del fallo, Microsoft ha clasificado el riesgo como moderado y aún no ha publicado un parche. La compañía argumenta que se requiere un permiso específico (CreateChild), normalmente asociado con niveles elevados de privilegio. Sin embargo, Akamai advierte que este permiso no siempre se considera de alto riesgo y puede ser utilizado sin controles estrictos.
Para abordar esta situación, Akamai ha propuesto varias recomendaciones de detección y mitigación. Las organizaciones pueden auditar la creación de dMSAs, monitorizar cambios en atributos claves, y revisar autenticaciones dMSA para detectar posibles abusos tempranamente.
En cuanto a la mitigación, se sugieren acciones como restringir quién puede crear dMSAs, utilizar herramientas de auditoría para identificar usuarios con permisos CreateChild, y aplicar el principio de mínimo privilegio en la gestión de cuentas de servicio.
Este incidente subraya cómo nuevas funciones pensadas para facilitar la administración pueden volverse vectores de ataque críticos si no se controlan adecuadamente. Las organizaciones que usan Windows Server 2025 deben revisar su configuración de Active Directory, restringir la delegación y adoptar medidas proactivas de vigilancia para proteger sus sistemas. Como advierte Akamai, “no se necesita una vulnerabilidad para explotar un sistema, solo un comportamiento mal entendido”.
Más información y referencias en Noticias Cloud.
