Una falla crítica de escalamiento de privilegios ha sido descubierta en Windows Server 2025, permitiendo a un atacante tomar el control de cualquier usuario dentro de Active Directory (AD), incluso sin ser administrador de dominio.
El hallazgo fue detallado por Yuval Gordon, investigador de seguridad en Akamai, quien explicó que el ataque aprovecha una nueva función llamada Delegated Managed Service Accounts (dMSA), introducida en esta versión del sistema operativo. Esta funcionalidad, que busca reemplazar cuentas de servicio heredadas como defensa contra ataques de tipo Kerberoasting, puede ser mal utilizada para escalar privilegios dentro del dominio.
Lo alarmante es que el ataque funciona bajo configuraciones por defecto y resulta muy sencillo de ejecutar. Según el análisis de Akamai, el 91% de los entornos examinados tenían usuarios con los permisos necesarios para llevarlo a cabo, sin necesidad de tener privilegios sobre la cuenta original.
Durante el proceso de autenticación Kerberos, dMSA hereda los permisos de la cuenta que reemplaza. Si un atacante logra modificar ciertos atributos de una cuenta dMSA, puede simular una migración legítima y asumir los permisos del usuario anterior. Esto incluye permisos de alto nivel, como los necesarios para replicar datos del directorio, similar a un ataque DCSync.
Aunque Microsoft ha sido notificado y se encuentra trabajando en un parche, actualmente no existe una solución inmediata. La compañía clasificó el problema como de gravedad moderada, argumentando que requiere ciertos permisos específicos para ser explotado. Sin embargo, Akamai ha publicado un script en PowerShell que permite identificar qué usuarios tienen la capacidad de crear cuentas dMSA en un entorno determinado.
Ante este escenario, se recomienda limitar la creación de cuentas dMSA y revisar cuidadosamente los permisos asociados a estas cuentas, especialmente en unidades organizativas (OU) donde puedan existir usuarios con privilegios indebidos.
A serious privilege escalation vulnerability has been uncovered in Windows Server 2025 that could allow attackers to take over any user in Active Directory—even without domain admin rights.
Security researcher Yuval Gordon from Akamai revealed that the issue stems from a new Windows feature called Delegated Managed Service Accounts (dMSA), introduced to replace legacy service accounts and defend against Kerberoasting attacks. Unfortunately, this feature can be exploited to simulate a migration process and escalate privileges within the domain.
What makes this particularly dangerous is its simplicity. The attack works with default settings, and in 91% of environments tested, users had sufficient permissions to perform the exploit—even if they weren’t domain admins and had no control over the original account.
During Kerberos authentication, a dMSA inherits access rights from the account it replaces. If an attacker can modify certain attributes of a dMSA, they can trick the system into granting them the same permissions as the previous user, including high-level access equivalent to DCSync attacks.
Microsoft has acknowledged the issue, but since it requires specific permissions on the dMSA object, it’s currently classified as a moderate risk. A patch is in development. Meanwhile, Akamai has released a PowerShell script to help organizations identify which non-default users can create dMSAs and where.
Organizations are strongly advised to restrict who can create dMSAs and tighten related permissions across their Active Directory infrastructure to prevent potential breaches.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
