Investigadores de seguridad han revelado los detalles de una nueva vulnerabilidad crítica en el sistema operativo Microsoft Windows, específicamente en el controlador Brokering File System (bfs.sys). Este componente, encargado de gestionar operaciones de archivos complejas y validaciones de acceso, contiene un error lógico que permite a un atacante local escalar privilegios hasta el nivel más alto: nt authoritysystem.
¿Qué es el fallo?
La vulnerabilidad reside en cómo el driver bfs.sys maneja ciertos objetos en memoria cuando se realizan solicitudes de archivos concurrentes.
- El Exploit: Un atacante con acceso físico o remoto (vía malware básico) a una máquina con bajos privilegios puede enviar una secuencia de comandos manipulados al driver BFS.
- El Resultado: Debido a una validación incorrecta, el driver confunde el contexto de seguridad del usuario, otorgándole permisos de escritura en áreas protegidas del Kernel.
Esta clase de fallos son “oro puro” para los hackers, ya que son el paso necesario después de infectar una PC (Phishing) para tomar el control total y desactivar el antivirus.
El Brokering File System ha sido históricamente un vector de ataque (como vimos con el CVE-2024-26213 en el pasado). La razón es que este driver opera con altos privilegios pero interactúa constantemente con solicitudes de usuario.
Cualquier error en la “sanitización” de estas solicitudes permite que un usuario engañe al Kernel (“Confused Deputy Attack”).
¿Por qué es peligroso hoy?
Aunque Microsoft suele lanzar parches los martes, los exploits de elevación de privilegios (LPE) locales suelen ser incorporados en kits de malware muy rápido.
Si un Ransomware entra en tu red hoy, usará este fallo en bfs.sys para:
- Elevarse a SYSTEM.
- Borrar las copias de seguridad de volumen (Shadow Copies).
- Cifrar todo el disco sin que el usuario pueda detenerlo.
Recomendación
La única defensa efectiva es aplicar el parche de seguridad acumulativo de diciembre (o el Out-of-Band si se libera por separado). Mientras tanto, las reglas de Attack Surface Reduction (ASR) en Microsoft Defender pueden ayudar a bloquear intentos de inyección de código extraños.
Ficha Técnica de la Amenaza
| Dato | Detalle |
| Componente Afectado | Microsoft Brokering File System (bfs.sys) |
| Tipo de Fallo | Elevación de Privilegios (EoP) |
| Impacto | Escalada de Usuario Local a SYSTEM |
| Vector de Ataque | Local (Requiere ejecución de código previo) |
| Sistemas | Windows 10, Windows 11, Windows Server 2022/2025 |
| Estado | Parche disponible / PoC probablemente en desarrollo |
