Investigadores de seguridad han identificado una vulnerabilidad crítica en Windows Server 2025 que permite a atacantes escalar privilegios y tomar control de cualquier cuenta en un dominio de Active Directory (AD). Denominado BadSuccessor, este ataque explota una funcionalidad introducida en la última versión de Windows Server: las cuentas de servicio administradas delegadas (dMSA).
Los hallazgos más preocupantes son:
- Funciona en configuraciones predeterminadas.
- No requiere privilegios elevados iniciales.
- Afecta al 91% de los entornos AD analizados.
Microsoft ha reconocido el problema pero aún no ha liberado un parche, por lo que las organizaciones deben implementar medidas preventivas inmediatas.
Contexto Técnico: Entendiendo las dMSA
Las delegated Managed Service Accounts (dMSA) son un nuevo tipo de cuenta de servicio en Windows Server 2025, diseñadas para reemplazar cuentas heredadas manteniendo continuidad en los servicios. El proceso de migración permite que una dMSA herede configuraciones y permisos de la cuenta original.
Sin embargo, el mecanismo contiene una falla crítica: no verifica adecuadamente la legitimidad de las migraciones, permitiendo que atacantes con permisos básicos manipulen este proceso.
Mecánica del Ataque BadSuccessor
El ataque se ejecuta en tres etapas principales:
- Creación de dMSA: Un atacante con permisos para crear objetos en una OU (derecho común en muchas organizaciones) puede generar una nueva cuenta dMSA.
- Manipulación de atributos: Modificando dos atributos clave (msDS-ManagedAccountPrecededByLink y msDS-DelegatedMSAState), el atacante puede vincular la dMSA a cualquier cuenta objetivo, incluyendo cuentas privilegiadas.
- Obtención de privilegios: Al autenticarse con la dMSA, el atacante recibe un ticket Kerberos (TGT) que incluye todos los privilegios de la cuenta suplantada, permitiendo incluso el robo de credenciales mediante el paquete KERB-DMSA-KEY-PACKAGE.
Impacto en Entornos Corporativos
- Compromiso total del dominio: Un atacante con permisos básicos puede escalar a Domain Admin en minutos.
- Robo de credenciales: Es posible extraer claves de cifrado de cuentas privilegiadas.
- Baja detectabilidad: El ataque no modifica membresías de grupo ni atributos sensibles de las víctimas, evadiendo muchas soluciones de monitoreo tradicionales.
Postura de Microsoft
Microsoft ha clasificado la vulnerabilidad como de “gravedad moderada”, argumentando que el atacante necesitaría ciertos permisos iniciales. Sin embargo, expertos señalan que los permisos requeridos (como “Crear objetos hijos” en una OU) son comunes y frecuentemente subestimados.
Estado actual: No hay parche disponible, pero Microsoft está desarrollando una solución.
Recomendaciones de Seguridad
Detección:
- Monitorear la creación de objetos dMSA (Event ID 5137).
- Auditar cambios en el atributo msDS-ManagedAccountPrecededByLink (Event ID 5136).
- Alertar sobre autenticaciones inusuales de dMSA (Event ID 2946).
Mitigación:
- Restringir estrictamente los permisos para crear dMSA.
- Implementar el principio de mínimo privilegio en delegaciones de OUs.
- Utilizar scripts de PowerShell para identificar usuarios con permisos peligrosos.
Conclusión
BadSuccessor demuestra cómo nuevas funcionalidades en entornos críticos pueden introducir vectores de ataque inesperados. Las organizaciones deben:
- Auditar exhaustivamente los permisos en Active Directory.
- Implementar monitoreo avanzado para actividades relacionadas con dMSA.
- Prepararse para aplicar el parche oficial cuando esté disponible.
