El 11 de febrero de 2025, Microsoft lanzó su actualización mensual de seguridad, entre ellas dos críticas: CVE-2025-21418 y CVE-2025-21391. Estas vulnerabilidades, denominadas “Zero-Day“, estaban siendo activamente explotadas por atacantes, lo que subraya la urgencia de aplicar los parches correspondientes.
¿Qué pasó?
Microsoft identificó y corrigió dos vulnerabilidades de alta gravedad en sus sistemas operativos Windows y Windows Server. Estas fallas permitían a los atacantes ejecutar código malicioso con privilegios elevados, comprometiendo la seguridad de los sistemas afectados.
Análisis de las Fallas de Seguridad
La vulnerabilidad CVE-2025-21418 reside en el controlador de funciones auxiliares de Windows (AFD.sys), que interactúa con la API de Sockets de Windows para habilitar la conectividad a Internet de las aplicaciones. Un atacante autenticado podría ejecutar un programa especialmente diseñado que ejecute código con privilegios de sistema, facilitando la toma de control del sistema comprometido.
Por otro lado, la vulnerabilidad CVE-2025-21391 afecta al almacenamiento de Windows en diversas versiones de Windows y Windows Server. Esta falla de elevación de privilegios permitiría a un atacante eliminar archivos arbitrarios en el sistema, lo que podría generar indisponibilidad del servicio y afectar la integridad del sistema.
¿Cómo funcionan?
La vulnerabilidad CVE-2025-21418 gestiona las comunicaciones de red para las aplicaciones de Windows. Un atacante con acceso local y privilegios limitados podría explotar esta vulnerabilidad mediante la ejecución de un programa especialmente diseñado que aproveche una sobrecarga de búfer en AFD.sys. Esta explotación permite la ejecución de código arbitrario con privilegios de sistema, otorga al atacante control total sobre el sistema afectado. lo que podría facilitar la instalación de malware, el robo de información sensible o la manipulación de datos críticos.
Por otro lado, la vulnerabilidad CVE-2025-21391 está presente en el servicio de almacenamiento de Windows. Esta falla de elevación de privilegios se debe a una vulnerabilidad de seguimiento de enlaces simbólicos (CWE-59). Un atacante con acceso local podría crear enlaces simbólicos maliciosos que apuntan a archivos críticos del sistema. Al interactuar con estos enlaces, el sistema podría eliminar archivos arbitrarios bajo el contexto de seguridad del servicio de almacenamiento, lo que podría resultar en la denegación de servicio o en la alteración de la integridad del sistema.
¿Por qué es importante?
Estas vulnerabilidades son especialmente críticas debido a su explotación activa por parte de atacantes, lo que significa que los sistemas sin los parches correspondientes para CVE-2025-21391 como para CVE-2025-21418 están en riesgo de ser comprometidos. La explotación de estas fallas podría permitir a los atacantes obtener control total sobre los sistemas afectados, representando una amenaza significativa para la seguridad de la información y la integridad de los datos.
Es importante destacar que, aunque estas dos vulnerabilidades han sido señaladas como críticas debido a su explotación activa, Microsoft ha corregido un total de 55 vulnerabilidades en esta actualización. Cada una de ellas posee su propio nivel de riesgo y potencial de explotación, por lo que es esencial que los usuarios y administradores de sistemas apliquen todas las actualizaciones disponibles para garantizar una protección integral.
Recomendaciones
Para proteger sus sistemas contra las vulnerabilidades CVE-2025-21418 y CVE-2025-21391, se recomienda:
- Aplicar las actualizaciones de seguridad de inmediato: Microsoft ha lanzado parches para estas vulnerabilidades. Es esencial instalarlos sin demora para mitigar los riesgos asociados.
- Revisar y reforzar las configuraciones de seguridad: Asegúrese de que las configuraciones de seguridad de sus sistemas estén alineadas con las mejores prácticas y políticas de seguridad vigentes.
- Realizar auditorías periódicas: Efectúe auditorías regulares para detectar posibles signos de explotación o configuraciones inseguras que puedan comprometer la integridad de sus sistemas.
- Monitorear fuentes oficiales: Manténgase informado sobre futuras actualizaciones y recomendaciones de seguridad consultando regularmente el Centro de Respuesta de Seguridad de Microsoft.
