Se ha identificado una vulnerabilidad sofisticada de escalada de privilegios en servidores SMB de Windows, basada en la explotación de Service Principal Names (SPNs) fantasma y la reflexión de autenticación Kerberos, que permite acceso remoto a nivel SYSTEM. Catalogada como CVE-2025-58726 por Microsoft, afecta a todas las versiones de Windows que no implementan la firma obligatoria de SMB. El ataque requiere acceso al dominio con permisos mínimos y aprovecha configuraciones predeterminadas de Active Directory y registros DNS permisivos, facilitando la elevación hasta el control total del dominio.
CVE y severidad
| CVE | Descripción | Severidad | Componentes afectados |
|---|---|---|---|
| CVE-2025-58726 | Falla de elevación de privilegios en servidores SMB mediante SPNs fantasma y reflexión Kerberos | Importante | Servidor SMB sin firma obligatoria, autenticación Kerberos en Windows |
Productos afectados
Afecta a todos los sistemas operativos Microsoft Windows con servidores SMB habilitados que no tienen la firma SMB asegurada mediante políticas, incluyendo entornos con configuración predeterminada de Active Directory.
Solución
Aplicar la actualización liberada el 14 de octubre de 2025 que corrige la validación de SPNs en el controlador srv2.sys y bloquea conexiones reflejadas antes del uso del token.
Recomendaciones
Priorizar la implementación inmediata del parche oficial y la habilitación obligatoria de la firma SMB en clientes y servidores mediante políticas de grupo. Auditar y eliminar SPNs fantasma con herramientas especializadas, restringir permisos de escritura DNS a usuarios estándar y monitorear peticiones inusuales de tickets Kerberos. Complementar con restricciones RPC y fortalecimiento del servicio para evitar coerciones.