Semperis ha anunciado nuevas capacidades de detección en su plataforma de Protección de Servicios de Directorio (DSP) para defenderse contra ‘BadSuccessor’.
BadSuccessor es una técnica de escalamiento de privilegios de alta gravedad que explota una función recientemente introducida en Windows Server 2025.
Las mejoras, desarrolladas en colaboración directa con el equipo de investigación de Akamai, que descubrió la vulnerabilidad, permiten a las organizaciones detectar y responder a intentos de ciberataque antes de que los atacantes puedan escalar privilegios y comprometer el dominio.
BadSuccessor explota las cuentas de servicio administradas delegadas (dMSA), una nueva funcionalidad de Windows Server 2025 diseñada para mejorar la seguridad de las cuentas de servicio.
Los investigadores de Akamai han demostrado cómo los atacantes pueden abusar de las dMSA para suplantar a usuarios con altos privilegios en Active Directory (AD), incluidos los administradores de dominio (Domain Admins), sin que exista actualmente un parche disponible.
BadSuccessor explota las cuentas de servicio administradas delegadas (dMSA), una nueva funcionalidad de Windows Server 2025
Este vector de explotación de alta gravedad pone de manifiesto un desafío que viene afrontando la seguridad de identidad empresarial desde hace tiempo: la gestión de cuentas de servicio.
Estas cuentas a menudo operan con privilegios excesivos o no monitoreados, lo que crea rutas de ataque ocultas susceptibles de ser explotadas.
En respuesta, Semperis ha actualizado su plataforma DSP con un nuevo Indicador de Exposición (IOE) y tres Indicadores de Compromiso (IOC) para detectar comportamientos anómalos relacionados con las dMSA.
Estos indicadores ayudan a los equipos de seguridad a identificar derechos de delegación excesivos, enlaces maliciosos entre dMSA y cuentas privilegiadas, así como intentos de comprometer cuentas sensibles como KRBTGT.
“Semperis ha actuado rápidamente para convertir la vulnerabilidad en capacidades reales de detección para los defensores”, ha afirmado Yuval Gordon, investigador de seguridad en Akamai.
“Las cuentas de servicio siguen siendo uno de los activos más poderosos y menos controlados en los entornos empresariales”, ha comentado Tomer Nahum, investigador de seguridad en Semperis.
La vulnerabilidad afecta a cualquier organización que tenga al menos un controlador de dominio (Domain Controller) ejecutando Windows Server 2025.
Incluso un solo controlador de dominio mal configurado puede introducir riesgos en todo el entorno.
Hasta que se publique un parche, se insta a las organizaciones a auditar los permisos de las dMSA y monitorear signos de uso indebido utilizando herramientas de detección mejoradas como Semperis DSP.
