Esta publicación se actualizó por última vez en febrero de 2026.
La delegación de Kerberos se diseñó originalmente como una mejora de la seguridad: una forma de permitir que las aplicaciones se autentiquen de forma segura en nombre de los usuarios al acceder a los recursos. La suplantación de identidad como parte de... autenticación No es intrínsecamente malo; de hecho, es una solución elegante a un problema de larga data: cómo permitir que las aplicaciones accedan a los recursos solo cuando realmente lo necesitan, limitando al mismo tiempo el alcance de los datos a los que pueden acceder. Por ejemplo, un servicio de front-end que actúa en nombre de un usuario para llamar a una API de back-end refleja un uso legítimo y bien controlado de este mecanismo.
A medida que evolucionaron los entornos empresariales, este enfoque se convirtió en un estándar sobre cómo las aplicaciones interactúan con los recursos. Kerberos La delegación introdujo un método estructurado y seguro para que los servicios extendieran el acceso de los usuarios solo cuando fuera necesario, manteniendo la integridad de la autenticación en sistemas complejos. Sin embargo, al modificar el lugar donde reside la confianza, también amplió el panorama, creando más áreas para que los investigadores exploraran posibles vulnerabilidades y para que los adversarios interfirieran, manipularan o abusaran de la confianza de nuevas maneras.
Por lo tanto, el abuso de la delegación Kerberos puede ser peligroso si cae en malas manos… ¿Qué sucedería si un atacante encontrara la manera de infiltrarse en la ruta de delegación y suplantara la identidad del usuario para acceder a recursos confidenciales? O, aún más lejos, ¿qué sucedería si el atacante descubriera cómo suplantar la identidad de un usuario diferente, quizás con mayores privilegios?
Eliran Partush, investigador de seguridad en Silverfort, examinó este concepto exacto en su última investigación y proporcionó un análisis técnico completo en su informe técnico, “CVE-2025-60704: Fallas de validación en Windows Kerberos S4U: de la transición de protocolo a la escalada de privilegios.
En el documento técnico, Eliran describe CVE-2025-60704, una condición de elevación de privilegios de Kerberos en Windows que surge de múltiples fallos de validación en los flujos S4U2Self y S4U2Proxy. Las vulnerabilidades se centran en cómo se vincula criptográficamente la identidad de S4U a una solicitud y cómo el cliente valida la integridad de las respuestas del KDC en los modos de acceso heredados.
Vaya directamente al documento técnico a continuación, o siga leyendo para obtener una descripción general de alto nivel de la investigación que se compartió en Black Hat EU en Londres en diciembre de 2025.
Informe técnico
CVE-2025-60704: Fallos de validación en Windows Kerberos S4U: de la transición de protocolo a la escalada de privilegios
Léelo ahora
Descubrimiento de CVE
Como parte de una divulgación responsable, nuestro equipo de investigación informó a Microsoft sobre la vulnerabilidad de delegación restringida de Kerberos. El 11 de noviembre de 2025, Microsoft publicó una actualización como parte del "Martes de parches", donde obtuvo una puntuación CVSS de 7.5. Mediante la técnica "Man-in-the-Middle", esta falla nos permitió suplantar la identidad de usuarios arbitrarios y, en última instancia, obtener el control de todo el dominio.
Por qué es importante CVE-2025-60704
Kerberos es un protocolo multicapa y puede resultar complejo de comprender al principio; implica múltiples intercambios de mensajes, tickets cifrados y claves de sesión. La delegación añade otra capa de complejidad, con varios modelos disponibles: sin restricciones, con restricciones y basado en recursos (RBCD). Esto ayuda a extender los límites de confianza entre servicios. Un último factor que contribuye a la complejidad es que delegación de Kerberos También puede interactuar con otros tipos de autenticación. El objetivo principal de Kerberos es que una aplicación autentique a un usuario.
La delegación siempre será una consideración importante en ciberseguridad por una razón principal: La capacidad de suplantar la identidad de un usuario es un objetivo atractivo para los atacantes. Da igual si tu organización es nativa de la nube o si tienes aplicaciones críticas para el negocio basadas exclusivamente en arquitecturas heredadas. El concepto sigue siendo el mismo: una aplicación que actúa en nombre de la identidad de un usuario puede ser muy poderosa si se usa indebidamente.
Al comenzar la investigación, nuestro equipo buscó maneras de eludir los mecanismos de seguridad del protocolo de delegación Kerberos. Fue entonces cuando surgió algo interesante: en la Delegación Restringida de Kerberos (KCD), el protocolo contaba con mecanismos que nos permitían no solo suplantar la identidad de un usuario al que habíamos obtenido acceso, sino también escalar privilegios y mucho más. Podríamos dar más detalles, pero eso lo dejamos para la charla.
El impacto de CVE-2025-60704 si se explota
A menudo pensamos que las amenazas a la identidad están relacionadas con el acceso a la identidad objetivo (ya sea humana o no humana, como un ser humano). cuenta de servicioy luego ver qué es posible usando los permisos de esa identidad. Rara vez pensamos en términos de obtener acceso y luego poder cambiar por completo nuestra identidad a la de otra persona.
El impacto de esto es claro: cualquier organización que utilice Active DirectoryEl sistema, con la capacidad de delegación de Kerberos activada, se ve afectado. Esto significa que miles de empresas en todo el mundo se ven afectadas por esta vulnerabilidad. Dado que la delegación de Kerberos es una función dentro de la plataforma, se ve afectada. Active DirectoryUn atacante requiere acceso inicial a un entorno con credenciales comprometidasUna vez explotada la vulnerabilidad, los atacantes podrían escalar privilegios y moverse lateralmente a otras máquinas de la organización. Peor aún, también podrían suplantar la identidad de cualquier empleado de la empresa, obteniendo accesos no autorizados o incluso convirtiéndose en administradores de dominio.
Explotar la vulnerabilidad CVE-2025-60704 formaría parte de su estrategia a largo plazo, que incluye el robo de propiedad intelectual o datos personales, la suplantación de identidad, ransomware, y más.
Mitigación de CVE-2025-60704
Kerberos ha sido considerado durante décadas la columna vertebral de la seguridad. autenticación empresarialSin embargo, incluso los protocolos de seguridad mejor diseñados pueden ser vulnerados y explotados silenciosamente. Entonces, ¿qué deben hacer los equipos de seguridad?
Para cualquier empresa que utilice Active Directory, nosotros recomendamos Corrigen esta vulnerabilidad lo antes posible. Si la actualización no es una opción por el momento, configura una alerta en tu ITDR Solución para supervisar todas las delegaciones restringidas de Kerberos.
Charla de Eliran Partush en Black Hat EU en Londres
Si asististe a Black Hat en Londres, lo repasamos todo:
- Dónde comenzó la investigación y cómo nuestro equipo de investigación se topó con el CVE.
- Cómo un mecanismo diseñado para hacer que su infraestructura sea más segura amplía su superficie de ataque.
- El comportamiento del protocolo, las suposiciones de confianza y un poco de ingeniería inversa básica del funcionamiento interno de Windows nos ayudaron a rastrear la falla hasta su raíz.
- Estrategias de mitigación y cómo proteger mejor los entornos que dependen de la delegación Kerberos.
Próximamente se publicará un video de la charla a pedido, cuyo enlace publicaremos en esta publicación. Hasta que la charla esté disponible, Visita nuestro informe técnico Para leer los detalles técnicos.
¿Te interesa mantenerte en contacto y estar al tanto de nuestras investigaciones? Conéctese con el investigador en LinkedIn para seguirlo y obtener más información.
Acerca de Eliran Partush, Silverfort Investigador de seguridad
Eliran es investigador de seguridad y especialista en TI en el campo de la seguridad. Silverfort Miembro del equipo de investigación, especializado en protocolos de red y autenticación, sobre todo Kerberos. Le apasionan los retos como los CTF y el estudio profundo de protocolos. Cuenta con una amplia experiencia como ingeniero de redes y sistemas en Cisco durante más de 10 años y siempre le ha gustado desmontar sistemas y volverlos a montar.