Cada ruta de delegación Kerberos a Domain Admin en tu entorno, explotada y demostrada.
ADscan encuentra y explota cada configuración incorrecta de delegación soportada — no restringida, restringida y RBCD — y mapea la cadena de escalada de privilegios desde un punto de apoyo hasta el compromiso total del dominio, para que actúes sobre lo que es real y no sobre lo que es teórico.
La exposición por delegación de privilegios es el conjunto de configuraciones incorrectas de delegación Kerberos y relaciones de privilegio basadas en ACL que permiten a una cuenta sin privilegios suplantar a un Domain Admin o tomar el control de un Domain Controller. ADscan valida cada ruta de delegación soportada de principio a fin: explota la delegación, prueba la escalada de privilegios y registra la ruta como un hecho demostrado.
~40%
La delegación Kerberos no restringida se introdujo en Windows 2000 y nunca ha tenido una remediación ampliamente aplicada. La delegación restringida y RBCD son alternativas más seguras, pero mal configuradas, son igualmente explotables. Una cuenta con delegación no restringida almacena en caché cada ticket Kerberos presentado — incluido el TGT de un Domain Controller si un atacante puede provocar la autenticación. RBCD permite a cualquier cuenta con derechos de escritura sobre un objeto de equipo configurar un servicio que suplante a cualquier usuario. Ambas familias llevan directamente a Domain Admin, y ninguna es visible en un escaneo de vulnerabilidades de red. La validación te dice qué rutas son reales en tu entorno hoy.
Entornos AD regulados con al menos una ruta de delegación explotable · datos PoV ADscan
- 01
Enumerar configuraciones de delegación
Recolecta cada equipo y cuenta de servicio con algún flag de delegación activado (TRUSTED_FOR_DELEGATION, TRUSTED_TO_AUTH_FOR_DELEGATION, msDS-AllowedToDelegateTo, msDS-AllowedToActOnBehalfOfOtherIdentity) en todo el dominio.
- 02
Mapear rutas de privilegio por ACL
Grafica cada relación ACL (GenericAll, GenericWrite, WriteDACL, WriteOwner, AllowedToAct) que permite escribir una configuración de delegación en un equipo o cuenta de servicio, combinando delegación y abuso de ACL en cadenas de varios saltos.
- 03
Explotar la delegación no restringida
Para cada host con delegación no restringida alcanzable desde una cuenta de punto de apoyo, intenta obtener un TGT del Domain Controller mediante autenticación forzada (cuando la coerción está disponible) o semántica de captura, y luego realiza un DCSync para completar la cadena a Domain Admin.
- 04
Explotar la delegación restringida (KCD)
Para cuentas de servicio con delegación restringida, usa S4U2Self y S4U2Proxy para suplantar a un Domain Admin frente al servicio objetivo y probar la ruta de escalada.
- 05
Validar rutas RBCD
Donde una cuenta tiene derechos de escritura sobre un objeto de equipo, configura RBCD en el objetivo, solicita un ticket de servicio vía S4U para suplantar a un Domain Admin y prueba la ruta. RBCD basado en coerción (relay vía PetitPotam) se detecta y se marca, pero no se auto-explota.
- 06
Informar y remediar
Clasifica cada ruta probada por radio de impacto y átala a su control de DORA, NIS2 y ENS. La remediación cubre el flag de delegación, el atributo msDS y la entrada ACL que permitió la ruta.
Explotación de delegación no restringida
ADscan identifica cada host y cuenta de servicio con TRUSTED_FOR_DELEGATION activado y, donde un punto de apoyo puede provocar o capturar la autenticación de un Domain Controller, prueba la ruta a Domain Admin mediante abuso de TGT y DCSync.
Delegación restringida vía S4U2Proxy
Las cuentas de servicio con delegación restringida (KCD) se explotan usando S4U2Self para obtener un TGS reenvíable y S4U2Proxy para suplantar a un Domain Admin frente al servicio objetivo, completando la cadena de escalada de privilegios.
Validación de rutas RBCD
Cualquier cuenta con derechos de escritura sobre un objeto de equipo es un vector potencial de RBCD. ADscan identifica la ruta ACL, configura RBCD en el objeto objetivo, solicita el ticket de suplantación vía S4U y registra la escalada como probada. El relay basado en coerción se detecta y se marca.
Mapeo de cadenas ACL a delegación
Las configuraciones incorrectas de delegación están a menudo a un solo salto de ACL de una cuenta sin privilegios. ADscan combina rutas ACL (WriteDACL, GenericWrite) con la explotación de delegación para sacar a la luz cadenas de escalada de privilegios de varios saltos que ninguna comprobación de una sola técnica encontraría.
Probada vs solo detectada, claramente etiquetadas
Las rutas que ADscan explotó de principio a fin se marcan como probadas. Las rutas que se identifican como presentes pero no se auto-explotan (como el relay RBCD basado en coerción) se marcan como detectadas con detalle técnico completo. El informe nunca mezcla ambas.
Remediación a nivel de atributo
Cada hallazgo mapea al atributo exacto o entrada ACL que cierra la exposición: eliminar TRUSTED_FOR_DELEGATION, quitar AllowedToAct y qué ACE específica sobre qué objeto revocar, no consejos genéricos de endurecimiento.
Mapeado al control por el que pregunta tu supervisor.
Las configuraciones incorrectas de delegación Kerberos son fallos de control de acceso privilegiado. Cada ruta de delegación probada se ata al Artículo 9.4 de DORA (protección y prevención, incluyendo el control de acceso a la infraestructura TIC) y al Artículo 24 (pruebas), al Artículo 21 de NIS2 (medidas de control de acceso y autenticación), a los controles de ENS Alto OP.ACC.4 y OP.ACC.6 (gestión de acceso privilegiado), e ISO 27001:2022 Anexo A.8.2 (derechos de acceso privilegiado). El informe incluye la cita legal para cada hallazgo para que tu evidencia de cumplimiento esté lista sin un paso de mapeo separado.
El motor open source de ADscan en la línea de comandos encuentra y explota cada ruta de delegación soportada — no restringida, restringida y RBCD — e informa cada cadena de escalada probada o detectada con guía de remediación. Gratis en GitHub, sin licencia.
Añade el informe PDF para comité con la narrativa completa del ataque de delegación, el mapeo de cumplimiento DORA, NIS2 y ENS por hallazgo, referencias a MITRE ATT&CK e IDs de evento de Windows para detección. Gratis en beta para consultoras y MSSPs a cambio de feedback. La plataforma Enterprise añade revalidación programada para que las regresiones de delegación se detecten a medida que se introducen.
Explora el resto de la plataforma.
Validación de rutas de ataque
Explota cada ruta soportada de un usuario sin privilegios a Domain Admin.
AbrirExposición de ADCS / certificados
Rutas de plantillas de certificado ESC1 a ESC15 contra tu PKI.
AbrirValidación de vulnerabilidades AD
ZeroLogon, PetitPotam y configuraciones críticas de AD, validadas.
AbrirLa delegación no restringida en al menos un host que no era DC estaba presente en la mayoría de los entornos regulados donde ADscan ha ejecutado una evaluación completa de delegación. En todos los casos, el host llevaba años con ese flag sin que existiera un ticket de remediación.
Preguntas, respondidas.
¿Qué es la delegación Kerberos no restringida?
La delegación no restringida es una configuración Kerberos (el flag TRUSTED_FOR_DELEGATION en un equipo o cuenta de servicio) que hace que cualquier Domain Controller incluya una copia del TGT del usuario autenticado en el ticket de servicio Kerberos emitido para esa cuenta. Cualquier proceso ejecutándose en el host puede extraer y reutilizar esos TGTs. Si un atacante controla el host y puede provocar que un Domain Controller se autentique en él, el TGT del DC se captura y el compromiso del dominio se produce a continuación.
¿Qué es RBCD (delegación restringida basada en recursos)?
RBCD es una variante de delegación introducida en Windows Server 2012 R2 donde el permiso de delegación se almacena en el recurso objetivo (el atributo msDS-AllowedToActOnBehalfOfOtherIdentity) en lugar de en el solicitante. Cualquier principal con derechos de escritura sobre un objeto de equipo puede configurar RBCD en él y luego usar S4U2Self y S4U2Proxy para suplantar a cualquier usuario frente a ese equipo, incluido un Domain Admin.
¿Cuál es la diferencia entre delegación no restringida, restringida y RBCD?
La delegación no restringida (TRUSTED_FOR_DELEGATION) permite al servicio suplantar a cualquier usuario ante cualquier otro servicio: la forma más amplia y peligrosa. La delegación restringida (TRUSTED_TO_AUTH_FOR_DELEGATION con msDS-AllowedToDelegateTo) limita la suplantación a servicios objetivo específicos pero sigue siendo explotable vía S4U2Proxy. RBCD mueve el control al recurso objetivo y es explotable por cualquiera que pueda escribir en el objeto equipo objetivo. Las tres familias son validadas por ADscan.
¿Cómo valida ADscan las rutas de delegación?
ADscan enumera todos los flags de delegación y rutas ACL, construye el grafo de ataque de varios saltos y luego ejecuta cada ruta soportada. Para la delegación no restringida, intenta la captura de TGT y DCSync donde sea alcanzable. Para la delegación restringida, usa S4U2Self y S4U2Proxy. Para RBCD, escribe el atributo de delegación y obtiene el ticket de suplantación. El relay basado en coerción (PetitPotam a RBCD) se detecta y se marca, pero no se auto-explota. Cada ruta explotada se marca como probada en el informe.
¿Pueden las configuraciones incorrectas de delegación llevar al compromiso total del dominio?
Sí. La delegación no restringida con un TGT de Domain Controller capturado lleva directamente a DCSync y al compromiso total del dominio. La delegación restringida explotada vía S4U2Proxy contra un servicio de alto privilegio lleva a la escalada de privilegios a Domain Admin. RBCD contra un objeto equipo escribible lleva a la suplantación de un Domain Admin en ese host. Las tres rutas terminan en Tier 0 en las evaluaciones de ADscan donde se dan las condiciones.
Descubre qué ruta a Domain Admin tienes hoy.
Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.