Se ha identificado una vulnerabilidad crítica de suplantación de identidad en Microsoft Defender for Identity (MDI) que podría permitir a atacantes no autenticados elevar sus privilegios y obtener acceso no autorizado a entornos de Active Directory.
Esta vulnerabilidad, registrada como CVE-2025-26685, reside en la función de rutas de movimiento lateral (LMP) del sensor MDI. Al explotarla, los atacantes podrían capturar credenciales de autenticación, lo que potencialmente les permitiría comprometer redes organizacionales completas.
Los investigadores de seguridad de NetSPI declararon que la vulnerabilidad se dirige específicamente al sensor MDI instalado en los controladores de dominio, que utiliza una cuenta de servicio de directorio (DSA) para consultar los sistemas en busca de miembros del grupo de administradores locales y mapear rutas de movimiento lateral dentro de los entornos.
Un atacante no autenticado con acceso a la red local puede iniciar una conexión a un controlador de dominio que activa el sensor MDI para autenticar y consultar el sistema del atacante utilizando el protocolo SAM-R.
El proceso de ataque implica degradar la autenticación de Kerberos a NTLM, lo que resulta en la captura del hash Net-NTLM del DSA.
Para una explotación exitosa, se deben cumplir dos condiciones críticas: el sistema atacante debe tener un registro DNS asociado, lo que ocurre automáticamente cuando se utilizan servidores DHCP de Windows con entornos Active Directory, y el atacante debe iniciar una conexión anónima, generando un ID de evento de Windows específico.
La explotación se puede activar mediante comandos simples como rpcclient -U “” -N [DC-IP] en sistemas Linux o net use \\{DC IP}\ipc$ “” /user:”” en sistemas Windows.
Estos comandos inician sesiones nulas anónimas de SMB que generan el ID de evento de Windows requerido, lo que solicita al sensor MDI que se autentique en el sistema del atacante e intente el mapeo LMP.
Una vez que se captura el hash Net-NTLM, los atacantes pueden seguir múltiples rutas de escalada. El hash capturado se puede desconectar para descifrar contraseñas utilizando herramientas como Hashcat o combinarlo con otras vulnerabilidades para una escalada de privilegios inmediata.
NetSPI demostró una cadena de ataque particularmente peligrosa que involucra la vulnerabilidad ESC8 en los Servicios de certificados de Active Directory (ADCS), donde los atacantes pueden transmitir datos de autenticación capturados a los puntos finales de inscripción de certificados.
Al utilizar herramientas como Certipy con el comando certipy Relay -target ‘http://[ADCS-CA]’, los atacantes pueden solicitar certificados en el contexto DSA y, en última instancia, recuperar Ticket Granting Tickets (TGT) y hashes NT para la cuenta DSA.
Esta ruta de ataque no requiere autenticación inicial y puede ejecutarse completamente desde el perímetro de la red local.
La cuenta DSA comprometida, aunque normalmente tiene menos privilegios, otorga a los atacantes importantes capacidades de reconocimiento, incluidos privilegios de lectura sobre todos los objetos de Active Directory y la capacidad de consultar grupos de administradores locales en todos los sistemas de red cuando SAM-R está configurado.
Mitigaciones
Al utilizar herramientas como Certipy con el comando certipy Relay -target ‘http://[ADCS-CA]’, los atacantes pueden solicitar certificados en el contexto DSA y, en última instancia, recuperar Ticket Granting Tickets (TGT) y hashes NT para la cuenta DSA.
Esta ruta de ataque no requiere autenticación inicial y puede ejecutarse completamente desde el perímetro de la red local.
La cuenta DSA comprometida, aunque normalmente tiene menos privilegios, otorga a los atacantes importantes capacidades de reconocimiento, incluidos privilegios de lectura sobre todos los objetos de Active Directory y la capacidad de consultar grupos de administradores locales en todos los sistemas de red cuando SAM-R está configurado.
El sensor MDI clásico recibirá una actualización importante: las consultas SAM-R serán reemplazadas por consultas WMI configuradas para la autenticación Kerberos. Este cambio fortalecerá la seguridad de la comunicación.
Además, las organizaciones tienen la opción de mejorar la seguridad configurando las cuentas DSA como cuentas de servicio administradas de grupo (gMSA). Esta medida ayudará a mitigar el impacto de posibles ataques de descifrado de contraseñas. Alternativamente, si se desea una mayor protección, las organizaciones pueden solicitar a Microsoft Support la desactivación completa de la función de recopilación de datos de rutas de movimiento lateral.
