Outbreak Alert: Vulnerabilidad en Active Directory Domain Services permite la escalación de privilegios - CVE-2026-25177

El CTI de ICS Labs identificó una vulnerabilidad crítica en Microsoft Active Directory Domain Services (AD DS), identificada como CVE-2026-25177, corregida por Microsoft en el paquete de actualizaciones de seguridad de marzo de 2026.

La falla posee una puntuación CVSS de 8.8, siendo clasificada como de alta severidad. El problema afecta el mecanismo de validación de nombres de recursos y archivos en el AD, permitiendo que atacantes autorizados en la red exploten inconsistencias en el manejo de caracteres Unicode para manipular identidades de servicio dentro del dominio.

La vulnerabilidad impacta diversas versiones de Windows, incluyendo Windows 10, Windows 11 y versiones de Windows Server a partir de 2012, pudiendo comprometer entornos corporativos que dependen fuertemente de la autenticación centralizada basada en Kerberos.

Visión general de la amenaza

La vulnerabilidad ocurre debido a una restricción inadecuada en la validación de nombres de recursos (CWE‑641) dentro del AD. Un atacante puede explotar este comportamiento para crear Service Principal Names (SPN) o User Principal Names (UPN) aparentemente duplicados utilizando caracteres Unicode especiales invisibles.

Este método permite eludir los mecanismos de verificación de duplicidad del Active Directory. Cuando un cliente solicita autenticación Kerberos para un servicio con un SPN duplicado, el controlador de dominio puede emitir un ticket cifrado con la clave incorrecta.

Este comportamiento puede generar dos escenarios principales:

• Denegación de servicio (DoS) en el servicio objetivo, que rechazará el ticket inválido.

• Fallback a autenticación NTLM, si aún está habilitada, reduciendo significativamente la seguridad del entorno.

Para explotar la falla, el atacante solo necesita permisos estándar para escribir o modificar SPN en un servicio, lo cual puede existir en configuraciones permisivas o tras el compromiso inicial de credenciales.

Si se explota con éxito, la vulnerabilidad puede resultar en elevación de privilegios hasta nivel SYSTEM, permitiendo control total del servidor afectado y el posible compromiso de todo el dominio.

Hasta el momento, no existen exploits públicos ni ataques activos conocidos.

Acciones de recomendación

• Aplicar las actualizaciones de seguridad de marzo de 2026 proporcionadas por Microsoft en todos los sistemas afectados.

• Revisar los permisos de cuentas que pueden modificar SPN o UPN, garantizando que solo administradores o cuentas estrictamente necesarias posean esa capacidad.

• Monitorizar logs y cambios en el Active Directory, especialmente eventos relacionados con la creación o modificación de SPN.

• Deshabilitar la autenticación NTLM siempre que sea posible para evitar fallback en caso de fallo del proceso Kerberos.

• Validar la duplicidad de SPN en el entorno utilizando herramientas administrativas o scripts de auditoría.

Medidas de fortalecimiento y protección

• Implementar monitoreo continuo del Active Directory, incluyendo alertas para cambios inusuales en SPN, UPN y atributos críticos de cuentas.

• Adoptar el principio de menor privilegio, restringiendo permisos de escritura en objetos del AD solo a cuentas administrativas confiables.

• Aplicar hardening de autenticación, priorizando Kerberos y eliminando protocolos heredados cuando sea posible.

• Integrar los logs del Active Directory en el SIEM, permitiendo correlación de eventos sospechosos y detección temprana de movimiento lateral.

• Ejecutar auditorías periódicas de configuración del AD, identificando permisos excesivos o configuraciones inseguras.

IOCs

Últimas actualizaciones:

• Marzo de 2026: Microsoft lanza oficialmente un parche para corregir 78 vulnerabilidades.

• Marzo de 2026: Divulgación oficial de CVE-2026-25177, realizada en cuanto el parche estuvo disponible.