Índice de temas
BudSuccessor: Vulnerabilidad en Windows Server 2025
Semperis ha preparado la integración de nuevas capacidades de detección en su plataforma de Protección de Servicios de Directorio (DSP) para contrarrestar «BadSuccessor«. Esta técnica de escalada de privilegios de alta gravedad explota una función recientemente introducida en Windows Server 2025 y fue descubierta en colaboración con el equipo de investigación de Akamai. La vulnerabilidad permite a los atacantes suplantar a usuarios con altos privilegios en Active Directory (AD), incluyendo administradores de dominio, sin que exista un parche disponible actualmente.
Qué es BadSuccessor
«BadSuccessor» se aprovecha de las cuentas de servicio administradas delegadas (dMSA), una nueva funcionalidad de Windows Server 2025 diseñada paradójicamente para mejorar la seguridad de las cuentas de servicio. Investigadores de Akamai demostraron cómo esta funcionalidad puede ser mal utilizada para obtener acceso privilegiado, lo que subraya un desafío persistente en la seguridad de identidad empresarial: la gestión de cuentas de servicio. Estas cuentas, a menudo con privilegios excesivos o sin monitoreo, crean rutas de ataque ocultas y vulnerables a la explotación.
Semperis DSP: detección rápida frente a comportamientos anómalos
En respuesta a esta amenaza crítica, Semperis ha actualizado su plataforma DSP con un nuevo Indicador de Exposición (IOE) y tres Indicadores de Compromiso (IOC). Estas herramientas permiten a los equipos de seguridad identificar rápidamente derechos de delegación excesivos, enlaces maliciosos entre dMSA y cuentas privilegiadas, y tentativas de compromiso de cuentas sensibles como KRBTGT. «Semperis ha actuado rápidamente para convertir la vulnerabilidad en capacidades reales de detección para los defensores, demostrando cómo la colaboración entre investigadores y proveedores puede generar un impacto significativo y rápido», afirmó Yuval Gordon, investigador de seguridad en Akamai.
Llamada de atención para la Gestión de Cuentas de Servicio
Tomer Nahum, investigador de seguridad en Semperis, enfatizó la magnitud del problema: «Las cuentas de servicio siguen siendo uno de los activos más poderosos y menos controlados en los entornos empresariales». Esta colaboración con Akamai ha permitido «cerrar brechas de detección rápidamente y brindar visibilidad a los defensores en un área de Active Directory profundamente compleja que los atacantes siguen explotando».
La vulnerabilidad afecta a cualquier organización con al menos un controlador de dominio ejecutando Windows Server 2025. Incluso un único controlador de dominio mal configurado puede introducir riesgos en todo el entorno. Hasta que se publique un parche, se insta a las organizaciones a auditar los permisos de las dMSA y monitorear signos de uso indebido con herramientas de detección mejoradas como Semperis DSP.
