Los investigadores de Akamai analizaron el parche de Microsoft para la vulnerabilidad conocida como BadSuccessor (CVE-2025-53779) para evaluar su eficacia.

Llegamos a la conclusión de que, aunque el parche fue eficaz para mitigar una parte significativa del riesgo asociado con BadSuccessor, la técnica sigue vigente y sigue siendo relevante en determinados escenarios.

En esta entrada de blog, detallamos dos técnicas que se basan en los mismos principios de BadSuccessor y que pueden permitir a los atacantes obtener credenciales y comprometer las cuentas de usuario.

En el DEF CON 2025, presentamos la historia de BadSuccessor, una vulnerabilidad de Active Directory (AD) que hace un uso indebido del nuevo tipo de cuenta de Windows Server 2025: delegated Managed Service Account (dMSA). La vulnerabilidad permite a un usuario con privilegios bajos ascender directamente a administrador de dominios.

Menos de una semana después, Microsoft asignó el identificador CVE-2025-53779 a la vulnerabilidad y lanzó un parche. La ruta de derivación directa está cerrada.

En esta entrada de blog, analizaremos el parche, explicaremos lo que ha cambiado y lo que no, y demostraremos que, aunque BadSuccessor ya no proporciona una derivación instantánea, sus mecanismos subyacentes siguen siendo importantes.

Si te perdiste la historia del origen, lee nuestra anterior publicación de blog sobre BadSuccessor.