Se ha demostrado una rotura de subida de privilegios en Windows Server 2025 que hace posible que los atacantes comprometan a cualquier sucesor en Active Directory (AD).
“El ataque explota la característica de la cuenta de servicio administrada delegada (DMSA) que se introdujo en Windows Server 2025, funciona con la configuración predeterminada y es trivial de implementar”, dijo el investigador de seguridad de Akamai, Yuval Gordon, en un mensaje compartido con Hacker News.
“Este problema probablemente afecta a la mayoría de las organizaciones que dependen de AD. En el 91% de los entornos que examinamos, encontramos usuarios fuera del asociación de administradores de dominio que tenían los permisos requeridos para realizar este ataque”.
Lo que hace que la vía de ataque sea extraordinario es que aprovecha una nueva característica emplazamiento Deleged Managed Service Cuentas (DMSA) que permite la migración de una cuenta de servicio heredado existente. Se introdujo en Windows Server 2025 como una mitigación de ataques de kerberoasting.
La técnica de ataque ha sido prestigioso en código Éxito de baño por la compañía de infraestructura y seguridad web.
“DMSA permite a los usuarios crearlos como una cuenta independiente o reemplazar una cuenta de servicio tipificado existente”, señala Microsoft en su documentación. “Cuando un DMSA reemplaza una cuenta existente, la autenticación de esa cuenta existente utilizando su contraseña está bloqueada”.
“La solicitud se redirige a la Autoridad de Seguridad regional (LSA) para autenticarse con DMSA, que tiene entrada a todo lo que la cuenta precedente podría conseguir en AD. Durante la migración, DMSA aprende automáticamente los dispositivos en los que se utilizará la cuenta de servicio que luego se utiliza para moverse de todas las cuentas de servicio existentes”.
El problema identificado por Akamai es que durante la período de autenticación de DMSA Kerberos, el Certificado de Atributo Privilegio (PAC) integrado en un boleto de ticket (es proponer, credenciales utilizadas para confirmar la identidad) emitida por un centro de distribución secreto (KDC) incluye tanto el identificador de seguridad de DMSA (SID) como el SIDS de la cuenta de servicio de todos los grupos de todos los clientes.
Esta transferencia de permisos entre las cuentas podría desobstruir la puerta a un posible escena de subida de privilegios simulando el proceso de migración de DMSA para comprometer a cualquier sucesor, incluidos administradores de dominios, y obtener privilegios similares, violando efectivamente todo el dominio incluso si el dominio Windows Server 2025 de una estructura no está utilizando DMSA.
“Un hecho interesante sobre esta técnica de ‘migración simulada’ es que no requiere ningún permiso sobre la cuenta reemplazada”, dijo Gordon. “El único requisito es escribir permisos sobre los atributos de un DMSA. Cualquier DMSA”.
“Una vez que hemos impresionado un DMSA según lo precedido por un sucesor, el KDC asume automáticamente una migración legítima y felizmente otorga a nuestro DMSA cada permiso que tenía el sucesor innovador, como si fuera su sucesor lícito”.
Akamai dijo que informó los hallazgos a Microsoft el 1 de abril de 2025, a posteriori de lo cual el gigantesco tecnológico clasificó el problema como moderado en severidad y que no cumple con la mostrador para el servicio inmediato conveniente al hecho de que la explotación exitosa requiere que un atacante tenga permisos específicos sobre el objeto DMSA, lo que sugiere una elevación de privilegios. Sin bloqueo, actualmente se está trabajando en un parche.
Hexaedro que no hay una decisión inmediata para el ataque, se recomienda a las organizaciones que limiten la capacidad de crear DMSA y deshumanizar los permisos siempre que sea posible. Akamai igualmente ha publicado un argumento de PowerShell que puede enumerar a todos los directores no predeterminados que pueden crear DMSA y enumerar las unidades organizativas (OUS) en las que cada director tiene este permiso.
“Esta vulnerabilidad introduce una ruta de atropello previamente desconocida y de stop impacto que hace posible que cualquier sucesor con permisos de CreateChild en un OU comprometa a cualquier sucesor en el dominio y obtenga un poder similar al privilegio de cambios de directorio de replicación utilizado para realizar ataques DCSYNC”, dijo Gordon.
