Una vulnerabilidad significativa en Windows Server 2025 ha sido descubierta por investigadores de Akamai, que podría poner en riesgo a organizaciones que utilizan entornos de Active Directory. El investigador de ciberseguridad Yuval Gordon ha revelado detalles sobre el fallo denominado «BadSuccessor», el cual permite a atacantes escalar sus privilegios dentro de un dominio sin necesidad de explotar vulnerabilidades tradicionales o comprometer credenciales.
La raíz del problema se encuentra en las delegated Managed Service Accounts (dMSA), una funcionalidad introducida por Microsoft para optimizar la gestión de cuentas de servicio. La investigación detalla cómo el proceso de migración de estas cuentas puede ser manipulado, permitiendo que los atacantes hereden permisos, incluso de administradores de dominio, sin necesidad de tener privilegios elevados.
BadSuccessor permite que cualquier usuario con permisos para crear objetos dMSA en un entorno mal configurado vincule una nueva dMSA con otra cuenta del dominio, incluidos los Domain Admins. Esto se logra modificando los atributos de msDS-ManagedAccountPrecededByLink y msDS-DelegatedMSAState. Esta acción lleva al Centro de Distribución de Claves (KDC) a otorgar privilegios y grupos de la cuenta original al nuevo objeto sin validaciones adicionales.
El potencial de ataque es considerable, ya que puede aplicarse a dominios que no usen dMSAs activamente, siempre que haya un controlador de dominio con Windows Server 2025. Esto expande enormemente el alcance de la vulnerabilidad por ser una configuración predeterminada del sistema operativo, permitiendo no solo la obtención de privilegios administrativos, sino también el acceso a largo plazo y la suplantación de identidad mediante claves criptográficas.
A pesar de que Microsoft ha sido notificado de este defecto desde abril de 2025, y lo ha reconocido como un problema, hasta el momento no se ha publicado un parche. La compañía lo clasifica de riesgo moderado debido a que, según su criterio, explotarlo requiere permisos específicos de alto nivel que no considera ampliamente accesibles.
Mientras se espera una actualización oficial, Akamai sugiere medidas para detectar y mitigar esta amenaza. Recomiendan auditar la creación de dMSAs, monitorear cambios en ciertos atributos y restringir quién puede crear estas cuentas. Además, se insta a emplear herramientas de auditoría para identificar permisos extendidos y aplicar el principio de mínimo privilegio.
El descubrimiento de BadSuccessor es un recordatorio de cómo las funcionalidades pensadas para facilitar la administración pueden convertirse en posibles vectores de ataque, si no se implementan con controles adecuados. Las organizaciones que utilizan Windows Server 2025 deben revisar su configuración de Active Directory y tomar medidas proactivas para proteger su infraestructura. Akamai destaca la importancia de entender el comportamiento del sistema para evitar que las características diseñadas para la eficiencia se transformen en vulnerabilidades explotables.
