CrowdStrike ha publicado un aviso de seguridad informando la aparición de dos fallos en el Falcon Sensor para Windows (CVE-2025-42701 y CVE-2025-42706). Estos fallos permiten a un atacante con ejecución de código previa en el host la capacidad de eliminar archivos arbitrarios.
Resumen Técnico de las Vulnerabilidades
Ambos problemas se detectaron a través del programa Bug Bounty y ya cuentan con correcciones publicadas. Por el momento, no hay evidencia de explotación activa en el mundo real, pero CrowdStrike está monitoreando activamente la situación.
Qué permiten los fallos: Un atacante con ejecución previa de código en el host podría borrar archivos arbitrarios. Esto puede degradar, dejar inoperativo el sensor o afectar otros componentes del sistema, causando inestabilidad. Un adversario que ya ejecuta código en un host (por ejemplo, mediante otro exploit o credenciales robadas) podría usar estos fallos para sabotear labores de detección forense o limpieza, dificultando la respuesta a incidentes.
CVE y Severidad:
- CVE-2025-42701 (CVSS 5.6 – Media): Race Condition (TOCTOU). Asociada a CWE-367 (explotación de condiciones de carrera vía enlaces simbólicos).
- CVE-2025-42706 (CVSS 6.5 – Media): Logic Error (error de validación de origen). Asociada a CWE-346 (falsificación de firma).
Versiones Afectadas y Parches a Instalar
La única mitigación efectiva es la actualización.
Versiones Afectadas (Resumen): Falcon sensor para Windows versiones 7.28.20006, 7.27.19907, 7.26.19811/19809, 7.25.19706, 7.24.19607 y anteriores, y ramas 7.16.* (Windows 7 / 2008 R2) hasta 7.16.18635.
Versiones Parcheadas (Instalar):
- Para la rama 7.28, actualizar a 7.28.20008 y posteriores.
- Para la rama 7.27, actualizar a 7.27.19909.
- Para la rama 7.26, actualizar a 7.26.19813.
- Para la rama 7.25, actualizar a 7.25.19707.
- Para la rama 7.24, actualizar a 7.24.19608.
- Para Windows 7 / 2008 R2, actualizar a 7.16.18637.
Recomendaciones
Crítico
- Actualizar YA: Desplegar las versiones parcheadas del Falcon sensor para Windows indicadas en todos los hosts afectados. Es la medida principal y más efectiva.
- Inventario Rápido: Ejecutar la query oficial de CrowdStrike (disponible en GitHub) para identificar sensores con versiones vulnerables y priorizar sistemas críticos.
- Aislar Hosts Sospechosos: Si detectas ejecución remota no autorizada en algún host, aísla el equipo mientras investigas.
Alta
- Hunting por Signos de Manipulación: Revisar logs y snapshots en busca de rastros de borrado de archivos inusuales, cambios en ficheros del sensor, reinicios inesperados o fallos del servicio Falcon.
- Forense y Captura de Evidencia: En hosts sospechosos, volcar memoria y conservar imágenes de disco antes de cualquier cambio. Capturar logs de EDR para analizar posible abuso.
- Rotación de Credenciales: Si hay evidencia de ejecución remota, rotar credenciales locales y de servicio, y forzar MFA donde sea posible.
Media
- Reforzar Control de Ejecución Local: Limitar qué procesos/usuarios pueden instalar o ejecutar agentes. Usar AppLocker / WDAC para prevenir ejecución de binarios no autorizados.
- Seguridad por Capas: Asegurar backups inmutables y segmentación para que un sabotaje de archivos no afecte copias críticas.
