{"id":1730417,"date":"2025-05-22T18:19:48","date_gmt":"2025-05-22T18:19:48","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critical-windows-server-2025-dmsa-permite-el-compromiso-de-active-directory\/"},"modified":"2025-05-22T18:19:53","modified_gmt":"2025-05-22T18:19:53","slug":"la-vulnerabilidad-critical-windows-server-2025-dmsa-permite-el-compromiso-de-active-directory","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-vulnerabilidad-critical-windows-server-2025-dmsa-permite-el-compromiso-de-active-directory\/","title":{"rendered":"La vulnerabilidad Critical Windows Server 2025 DMSA permite el compromiso de Active Directory"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>22 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ciberseguridad \/ vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha demostrado una falla de escalada de privilegios en Windows Server 2025 que hace posible que los atacantes comprometan a cualquier usuario en Active Directory (AD).<\/p>\n

“El ataque explota la caracter\u00edstica de la cuenta de servicio administrada delegada (DMSA) que se introdujo en Windows Server 2025, funciona con la configuraci\u00f3n predeterminada y es trivial de implementar”, el investigador de seguridad de Akamai Yuval Gordon dicho<\/a> En un informe compartido con The Hacker News.<\/p>\n

“Este problema probablemente afecta a la mayor\u00eda de las organizaciones que dependen de AD. En el 91% de los entornos que examinamos, encontramos usuarios fuera del grupo de administradores de dominio que ten\u00edan los permisos requeridos para realizar este ataque”.<\/p>\n

Lo que hace que la v\u00eda de ataque sea notable es que aprovecha una nueva caracter\u00edstica llamada cuentas de servicio administrados delegados (DMSA<\/a>) que permite la migraci\u00f3n de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una mitigaci\u00f3n de Querberoasting<\/a> ataques.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

La t\u00e9cnica de ataque ha sido nombrado en c\u00f3digo Badsuccessor<\/strong> por la compa\u00f1\u00eda de infraestructura y seguridad web. <\/p>\n

“DMSA permite a los usuarios crearlos como una cuenta independiente o reemplazar una cuenta de servicio est\u00e1ndar existente”, se\u00f1ala Microsoft en su documentaci\u00f3n. “Cuando un DMSA reemplaza una cuenta existente, la autenticaci\u00f3n de esa cuenta existente utilizando su contrase\u00f1a est\u00e1 bloqueada”.<\/p>\n

“La solicitud se redirige a la Autoridad de Seguridad local (LSA) para autenticarse con DMSA, que tiene acceso a todo lo que la cuenta anterior podr\u00eda acceder en AD. Durante la migraci\u00f3n, DMSA aprende autom\u00e1ticamente los dispositivos en los que se utilizar\u00e1 la cuenta de servicio que luego se utiliza para moverse de todas las cuentas de servicio existentes”.<\/p>\n

\"\"<\/a><\/div>\n

El problema identificado por Akamai es que durante el DMSA Kerberos<\/a> Fase de autenticaci\u00f3n, el certificado de atributo de privilegio (PAC) incrustado en un boleto de devoluci\u00f3n de boletos (es decir, credenciales utilizadas para verificar la identidad) emitido por un Centro de distribuci\u00f3n clave (KDC) incluye tanto el identificador de seguridad de DMSAS (Sid<\/a>) as\u00ed como el SIDS de la cuenta de servicio reemplazada y de todos sus grupos asociados.<\/p>\n

Esta transferencia de permisos entre las cuentas podr\u00eda abrir la puerta a un posible escenario de escalada de privilegios simulando el proceso de migraci\u00f3n de DMSA para comprometer a cualquier usuario, incluidos administradores de dominios, y obtener privilegios similares, violando efectivamente todo el dominio incluso si el dominio Windows Server 2025 de una organizaci\u00f3n no est\u00e1 utilizando DMSA.<\/p>\n

“Un hecho interesante sobre esta t\u00e9cnica de ‘migraci\u00f3n simulada’ es que no requiere ning\u00fan permiso sobre la cuenta reemplazada”, dijo Gordon. “El \u00fanico requisito es escribir permisos sobre los atributos de un DMSA. Cualquier DMSA”.<\/p>\n

“Una vez que hemos marcado un DMSA seg\u00fan lo precedido por un usuario, el KDC asume autom\u00e1ticamente una migraci\u00f3n leg\u00edtima y felizmente otorga a nuestro DMSA cada permiso que ten\u00eda el usuario original, como si fuera su sucesor leg\u00edtimo”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Akamai dijo que inform\u00f3 los hallazgos a Microsoft el 1 de abril de 2025, despu\u00e9s de lo cual el gigante tecnol\u00f3gico clasific\u00f3 el problema como moderado en severidad y que no cumple con la barra para el servicio inmediato debido al hecho de que la explotaci\u00f3n exitosa requiere que un atacante tenga permisos espec\u00edficos sobre el objeto DMSA, lo que sugiere una elevaci\u00f3n de privilegios. Sin embargo, actualmente se est\u00e1 trabajando en un parche.<\/p>\n

Dado que no hay una soluci\u00f3n inmediata para el ataque, se recomienda a las organizaciones que limiten la capacidad de crear DMSA y endurecer los permisos siempre que sea posible. Akamai tambi\u00e9n tiene liberado<\/a> Un gui\u00f3n de PowerShell que puede enumerar a todos los directores no predeterminados que pueden crear DMSA y enumerar las unidades organizacionales (OUS) en las que cada principal tiene este permiso.<\/p>\n

“Esta vulnerabilidad introduce una ruta de abuso previamente desconocida y de alto impacto que hace posible que cualquier usuario con permisos de CreateChild en un OU comprometa a cualquier usuario en el dominio y obtenga un poder similar al privilegio de cambios de directorio de replicaci\u00f3n utilizado para realizar ataques DCSYNC”, dijo Gordon.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n