Los atacantes están utilizando caracteres Unicode ocultos para engañar a los controladores de dominio, forzando la degradación de la seguridad y tomando el control absoluto de las redes de Microsoft.
El corazón mismo de las redes corporativas requiere una intervención de mantenimiento urgente. Hoy, 11 de marzo de 2026, se detalla una vulnerabilidad de alta severidad en los Servicios de Dominio de Active Directory (AD DS) de Microsoft, la cual fue abordada recientemente en una actualización de seguridad clasificada como “Importante”.
Registrada bajo el identificador CVE-2026-25177 (con una preocupante puntuación CVSS de 8.8), esta brecha permite a los atacantes autorizados en la red escalar drásticamente sus privilegios hasta obtener el control de SYSTEM. Esta vulnerabilidad de Escalada de Privilegios se origina (bajo la clasificación CWE-641) por una restricción inadecuada en los nombres de archivos y recursos del sistema.
El ataque resulta especialmente amenazador porque opera completamente a través de la red local, requiere privilegios mínimos para iniciarse, goza de una complejidad de ataque baja y no necesita absolutamente ninguna interacción por parte de la víctima.
El Engaño de los SPN y los Caracteres Ocultos
La mecánica del exploit destruye la confianza en el proceso de autenticación de la red:
- Para iniciar el ataque, un pirata informático solo necesita contar con permisos estándar que le permitan escribir o modificar Nombres Principales de Servicio (SPN) en una cuenta.
- Utilizando caracteres Unicode especialmente diseñados, el atacante logra crear SPNs o Nombres Principales de Usuario (UPN) falsificados y duplicados.
- Estos caracteres ocultos engañan exitosamente al sistema y logran eludir las verificaciones de seguridad normales de Active Directory, las cuales están diseñadas precisamente para detener las duplicaciones de nombres.
- Cuando los clientes legítimos de la red solicitan autenticación Kerberos para un servicio objetivo que ha sido manipulado con un SPN duplicado, el controlador de dominio comete el error crítico de emitir un ticket cifrado con la clave incorrecta.
- Como resultado de este cifrado erróneo, el servicio de destino rechaza el ticket, provocando un ataque de Denegación de Servicio (DoS), o peor aún, forzando a la red a retroceder y utilizar la antigua y mucho menos segura autenticación NTLM (si es que aún está habilitada en el entorno).
El impacto de este sabotaje es masivo: una explotación exitosa le otorga al atacante privilegios de nivel SYSTEM, permitiéndole tomar el control total e indiscutible del servidor comprometido y de todo el entorno de dominio más amplio.
Estado Actual y Mitigación
Afortunadamente, Microsoft (en coordinación con la firma de seguridad Semperis, quienes ayudaron a descubrir el fallo) ha evaluado la probabilidad de explotación actual como “Menos Probable”. Al momento de la publicación, se confirma que no existe código de exploit público ni ataques activos operando en la naturaleza.
Sin embargo, el tiempo corre. Las actualizaciones oficiales de seguridad ya están disponibles y cubren una amplia gama de sistemas operativos, abarcando desde Windows 10 y Windows 11, hasta las ediciones de Windows Server desde 2012 hasta los recientes lanzamientos de 2025. Los administradores de red deben aplicar estos parches de inmediato y, como medida de defensa proactiva, monitorear de cerca sus entornos de Active Directory en busca de modificaciones inusuales o no autorizadas en los registros de SPN.
