Qué vulnerabilidades críticas de AD son realmente explotables en tu entorno, validadas en continuo.
ADscan analiza tu Active Directory en busca de ZeroLogon, PetitPotam, PrintNightmare y otras vulnerabilidades y configuraciones críticas, distinguiendo lo que es genuinamente explotable de lo que un escáner simplemente detecta como presente, con evidencia de cumplimiento lista para DORA y ENS.
La validación de vulnerabilidades AD es la práctica de confirmar que una vulnerabilidad o configuración incorrecta conocida es genuinamente explotable en tu Active Directory específico, en lugar de simplemente confirmar que el parche está ausente. ADscan analiza cada vulnerabilidad en contexto, valida la ruta de explotación y marca si lleva a Domain Admin, para que priorices basándote en el riesgo real.
67%
Los escáneres de vulnerabilidades reportan la presencia de CVEs basándose en el nivel de parche. No confirman si tu segmentación de red específica, el endurecimiento de GPO, la configuración de firma SMB o las mitigaciones existentes realmente evitan la explotación. ZeroLogon tenía CVSS 10.0 pero muchos entornos tenían mitigaciones parciales que hacían fallar el ataque; PetitPotam requiere condiciones específicas de relay NTLM que dependen de tu configuración. ADscan valida la explotabilidad en tu entorno, no el nivel de parche de forma aislada, para que remedies lo que es realmente peligroso en lugar de perseguir hallazgos críticos fantasma.
Proporción de CVEs críticos de AD que los escáneres reportan como presentes pero que no son explotables por mitigaciones específicas del entorno · Ponemon, 2024
- 01
Enumerar estado de parches y configuración
Recolecta versión de Windows, nivel de parche, configuración de firma SMB, firma LDAP y enlace de canal, configuración NTLM, cuentas objetivo de AS-REP y estado del servicio de coerción de cada Domain Controller y host relevante.
- 02
Analizar cada vulnerabilidad en contexto
Para cada CVE o configuración incorrecta candidata, evalúa las precondiciones completas de explotación, no solo el parche, frente a tu entorno real. Ningún análisis continúa a menos que se cumplan las precondiciones.
- 03
Validar la explotabilidad de ZeroLogon
Confirma que el servicio Netlogon en cada DC está tanto sin parche como accesible en la red. Marca cada DC vulnerable como explotable validado. El exploit en sí está bloqueado por política de forma predeterminada para evitar la interrupción de credenciales en DCs de producción.
- 04
Detectar y validar condiciones de coerción
Sondea cada DC y servidor en busca de PetitPotam (MS-EFSRPC) y otras superficies de coerción. Marca los casos donde la coerción tendría éxito basándose en la configuración, sin activarla automáticamente. Mapea cada hallazgo de coerción a la cadena de relay que habilita (RBCD, ADCS ESC8, relay NTLM a LDAP).
- 05
Validar configuraciones incorrectas de principio a fin
La firma SMB ausente, LLMNR habilitado, el cifrado Kerberos débil, el nivel funcional de dominio obsoleto y otras configuraciones incorrectas no se limitan a detectarse, sino que se analizan: la herramienta confirma que la explotación es factible en tu configuración específica.
- 06
Mapear a cumplimiento y remediar
Ata cada vulnerabilidad validada a DORA, NIS2 y ENS, proporciona el parche o la corrección de configuración, y distingue los hallazgos que requieren remediación de emergencia de los que son de menor prioridad dadas tus controles existentes.
Validación de ZeroLogon (CVE-2020-1472)
ADscan comprueba en cada Domain Controller el estado del parche de Netlogon y la accesibilidad de red, valida que se cumplen las precondiciones de explotación y marca el DC como explotable. El exploit de Zerologon en sí está bloqueado por política de forma predeterminada para evitar la interrupción de credenciales de producción.
Detección de PetitPotam y superficie de coerción
ADscan sondea MS-EFSRPC y superficies de coerción relacionadas (PrintSpooler, WebDAV, DFSNM) en Domain Controllers y servidores. Donde se cumplen las condiciones de coerción, el hallazgo se marca con las cadenas de relay que habilita, sin activar la coerción automáticamente.
Validación de NoPac (CVE-2021-42278 / CVE-2021-42287)
Donde el nivel funcional del dominio y la cuota de cuentas de máquina permiten la suplantación de sAMAccountName, ADscan valida la ruta de explotación y confirma si la suplantación de Domain Admin es alcanzable mediante la cadena de confusión de PAC Kerberos.
Firma SMB y superficie de relay NTLM
ADscan identifica hosts con firma SMB ausente o no forzada, mapea la red de destinos de relay y valida si el relay NTLM a LDAP (para RBCD o escalada de privilegios) es factible dada tu firma LDAP y configuración de enlace de canal.
Veredicto de explotabilidad, no solo presencia
Para cada vulnerabilidad analizada, el informe entrega un veredicto binario de explotabilidad: explotable en tu entorno, o presente pero no explotable dada tu configuración actual. Sin críticos fantasma, sin falsa urgencia de comprobaciones basadas solo en nivel de parche.
Detección vs explotación, declaradas explícitamente
ADscan es explícito sobre la diferencia entre lo que valida analizando la explotabilidad y lo que detecta y marca sin auto-ejecutar. Los CVEs peligrosos cuya explotación causaría interrupciones en producción se validan, no se auto-explotan, y el informe lo declara.
Mapeado al control por el que pregunta tu supervisor.
Las vulnerabilidades críticas de AD sin parche son fallos directos bajo el Artículo 9.4 de DORA (protección y prevención de sistemas TIC) y el Artículo 24 (pruebas de penetración basadas en amenazas y pruebas TIC), los requisitos de gestión de vulnerabilidades del Artículo 21 de NIS2, los controles OP.EXP.2 y MP.IF.1 de ENS Alto, e ISO 27001:2022 Anexo A.8.8 (gestión de vulnerabilidades técnicas). Cada hallazgo validado se acompaña del artículo de control específico y un resumen en lenguaje claro del riesgo de cumplimiento, listo para entregar a un auditor.
El motor open source de ADscan en la línea de comandos analiza ZeroLogon, PetitPotam, superficies de coerción, NoPac, condiciones de relay SMB y configuraciones incorrectas críticas, entregando un veredicto de explotabilidad para cada una. Gratis en GitHub, sin licencia.
Añade el informe PDF para comité con cada hallazgo validado mapeado a DORA, NIS2 y ENS, referencias a MITRE ATT&CK, IDs de evento de Windows para detección y un calendario de remediación priorizado. Gratis en beta para consultoras y MSSPs a cambio de feedback. La plataforma Enterprise añade revalidación programada para que las nuevas vulnerabilidades introducidas por cambios de configuración se detecten en continuo.
Explora el resto de la plataforma.
En entornos regulados donde ADscan ha ejecutado un pase completo de validación de vulnerabilidades, al menos un CVE crítico estaba presente pero no era explotable por mitigaciones que el escáner no había modelado, y al menos un hallazgo que el escáner calificó como moderado fue validado como una ruta viva a Domain Admin.
Preguntas, respondidas.
¿Qué es ZeroLogon y cómo lo valida ADscan?
ZeroLogon (CVE-2020-1472) es un fallo criptográfico en el Protocolo Remoto Netlogon que permite a un atacante no autenticado establecer la contraseña del equipo de un Domain Controller en una cadena vacía, otorgando inmediatamente derechos de Domain Admin. Tenía una puntuación CVSS de 10.0. ADscan valida ZeroLogon confirmando que el DC está sin parche y que el puerto Netlogon es accesible desde la posición de análisis. El exploit en sí está bloqueado por política de forma predeterminada porque ejecutarlo en un DC de producción interrumpiría la autenticación de todo el dominio. El informe marca el DC como explotable validado con remediación clara.
¿Qué es PetitPotam y cómo lo gestiona ADscan?
PetitPotam (CVE-2021-36942) es una técnica de coerción que usa el protocolo MS-EFSRPC para forzar a un Domain Controller a autenticarse en un host controlado por el atacante. Combinado con relay NTLM a ADCS (ESC8) o LDAP, proporciona una ruta a Domain Admin sin ninguna credencial. ADscan sondea MS-EFSRPC y superficies de coerción relacionadas y marca cada instancia donde se cumplen las condiciones de coerción, junto con las cadenas de relay que la coerción habilita. La coerción no se activa automáticamente; en cambio, el hallazgo se marca con detalle técnico completo.
¿Cómo valida ADscan la explotabilidad en lugar de simplemente detectar la presencia de la vulnerabilidad?
La validación de explotabilidad significa analizar la cadena completa de precondiciones, no solo el nivel de parche. Para ZeroLogon: sin parche Y accesible en la red desde la posición de análisis. Para relay NTLM: firma SMB ausente Y firma LDAP/enlace de canal no forzado Y el destino del relay tiene una ruta de escalada de privilegios. Para coerción: interfaz MS-EFSRPC o equivalente accesible Y infraestructura de relay NTLM en su lugar. Cada condición se comprueba en tu entorno real, por lo que el veredicto de explotabilidad refleja tu configuración real, no una puntuación CVE genérica.
¿Cuál es la diferencia entre el escaneo de vulnerabilidades y la validación de explotación?
Un escáner de vulnerabilidades comprueba el nivel de parche e informa los CVEs presentes en software sin parche. La validación de explotación analiza si la vulnerabilidad es realmente accesible y explotable en tu entorno dada tu segmentación de red, endurecimiento de GPO, configuración del servicio y controles existentes. Los escáneres reportan habitualmente CVEs críticos como presentes en entornos donde realmente no pueden explotarse. ADscan valida la explotabilidad en contexto para que remedies lo que es realmente peligroso.
¿Qué CVEs de AD y familias de vulnerabilidades analiza ADscan?
ADscan analiza y valida ZeroLogon (CVE-2020-1472), coerción PetitPotam y MS-EFSRPC (CVE-2021-36942 y relacionados), NoPac (CVE-2021-42278 y CVE-2021-42287), condiciones de relay SMB (contexto MS14-068), superficies de coerción PrintSpooler y WebDAV, cifrado Kerberos débil, condiciones de envenenamiento LLMNR/NBT-NS, ausencia de firma SMB, exposición a AS-REP roasting y niveles funcionales de dominio obsoletos. El catálogo completo analizado se publica en la documentación de ADscan.
¿Por qué ADscan no auto-explota ZeroLogon y PetitPotam?
La ejecución de ZeroLogon en un DC de producción cambia la contraseña de la cuenta de máquina e interrumpe la autenticación del dominio para todos los equipos que dependen de ese DC: la interrupción es inmediata y grave. PetitPotam activa la autenticación NTLM en vivo en el DC, que en escenarios de relay puede causar errores de autenticación y ruido en los registros de auditoría. ADscan valida las precondiciones y confirma la explotabilidad sin ejecutar el paso disruptivo, porque el objetivo es la prueba del riesgo, no la interrupción de producción. Esta política se declara explícitamente en el informe para que no haya ambigüedad sobre lo que se analizó.
Descubre qué ruta a Domain Admin tienes hoy.
Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.