CVE-2025-53779: Vulnerabilidad Zero-Day en Kerberos de Windows

Gravedad: Alta (CVSS 7.2)
Tipo: Elevación de privilegios por path traversal (Relative path traversal)
Fecha de descubrimiento: Agosto de 2025
Estado: Zero-day público, parche disponible, no se han reportado casos activos conocidos
Versiones afectadas: Windows Server 2025 (Kerberos dMSA habilitado), dominios AD con dMSA
Investigador: Yuval Gordon (Akamai)

Descripción técnica

CVE-2025-53779 es una vulnerabilidad de traversal de rutas relativo en la implementación de Kerberos en Windows, específica de entornos Active Directory donde está activo el delegated Managed Service Account (dMSA). Permite a un atacante autenticado manipular atributos msds-groupMSAMembership y msds-ManagedAccountPrecededByLink para crear relaciones de delegación indebidas, logrando así tomar control y elevarse a privilegios de administrador de dominio.

El atacante debe poseer acceso previo y capacidad de escritura sobre ambos atributos en el dMSA. Esto normalmente se consigue como etapa final de una cadena de explotación acumulativa o por abuso de cuentas administrativas intermedias.
El exploit aprovecha la validación relativa de rutas en Kerberos para delegar privilegios y suplantar cuentas privilegiadas mediante el uso indebido de credenciales gestionadas.
Impacta la seguridad del modelo de delegación y gestión de identidades en AD.

Impacto y escenarios de explotación

Escalada de privilegios: un atacante puede pasar de permisos limitados a dominio completo de Active Directory.
Impersonación de usuarios de alto valor mediante apropiación de dMSA.
Persistencia mediante delegación maliciosa, permitiendo la reinstalación de acceso incluso tras intentos de remediación.
Desactivar auditoría, modificar directivas de grupo y moverse lateralmente en entornos multi-forest o cadena de suministro.
Puede complementarse con ataques como Kerberoasting o Silver Ticket para mantener persistencia en el dominio.

Condiciones para la explotación

Acceso autenticado obligatorio.
Control de los atributos msds-groupMSAMembership y msds-ManagedAccountPrecededByLink en el dMSA objetivo.
Suele concretarse como parte de una cadena de exploits, no como ataque aislado inicial.
La mayoría de entornos bien configurados protegen estos atributos, pero errores o malas prácticas pueden facilitar la explotación.

Detección, mitigación y recomendaciones

Parchear urgentemente todos los controladores de dominio y servidores Windows Server 2025 con las actualizaciones de agosto 2025 Patch Tuesday.
Auditar y restringir permisos de cuentas administrativas con acceso a atributos dMSA.
Monitorizar cambios en las relaciones de delegación de cuentas en Active Directory.
Deshabilitar y rotar credenciales de dMSA sospechosos o expuestos.
Combinar esta mitigación con controles contra ticket attacks y auditoría reforzada de Kerberos.
Actualizar la documentación de gestión de identidades para evitar futuras configuraciones inseguras.

Resumen técnico

Aspecto	Detalle
CVE	CVE-2025-53779
Tipo	Path traversal + Elevación silenciosa de privilegios
Vector	Autenticado, abuso de gestión de dMSA
Impacto	Dominio completo de Active Directory, persistencia y evasión de medidas defensivas
Gravedad (CVSS)	7.2 (alta, por contexto de ataques y posible cadena de exploits)
Parche disponible	Agosto 2025 Patch Tuesday, publicado por Microsoft
Mitigación	Parche, auditoría, restricción de permisos, revisión de relaciones dMSA

Recomendación urgente:
Parchea y audita tus controladores de dominio y configura de forma segura todos los atributos delegados de servicio en Active Directory. Toma especial precaución en entornos con dMSA configurados y monitorea posibles manipulaciones de delegaciones.