La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una advertencia urgente sobre la vulnerabilidad CVE-2025-33073, una falla crítica en el cliente SMB de Windows que está siendo activamente explotada.
La vulnerabilidad fue corregida por Microsoft en junio de 2025, pero recientes reportes confirman que actores maliciosos han comenzado a utilizarla en ataques reales, lo que motivó su inclusión en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
¿En qué consiste la falla CVE-2025-33073?
CVE-2025-33073 permite la escalada de privilegios hasta nivel SYSTEM, el más alto en sistemas Windows y Windows Server.
Para explotarla, un atacante puede ejecutar un script especialmente diseñado que fuerza al equipo víctima a conectarse de vuelta al sistema del atacante mediante el protocolo SMB (Server Message Block) y autenticarse.
Una vez establecida la conexión, el servidor malicioso puede comprometer el protocolo y obtener control total del dispositivo.
El ataque también puede realizarse persuadiendo al usuario objetivo para que ejecute el script manualmente, lo que amplía las posibilidades de explotación mediante campañas de ingeniería social o archivos adjuntos maliciosos.
Vulnerabilidad inicialmente divulgada, ahora bajo ataque
Cuando se publicó el parche en junio, Microsoft indicó que la vulnerabilidad ya era de conocimiento público, aunque no existían indicios de explotación activa.
Semanas después, investigadores independientes publicaron detalles técnicos y pruebas de concepto (PoC) que demostraron la gravedad del fallo.
De acuerdo con varios analistas, la falla puede eludir las mitigaciones de reflexión NTLM y permite a un atacante autenticado remoto ejecutar comandos arbitrarios como SYSTEM en cualquier máquina que no tenga activada la firma SMB (SMB signing).
Aunque fue clasificada como una vulnerabilidad de elevación de privilegios, en la práctica se comporta como una ejecución remota autenticada.
Recomendaciones y mitigación
CISA instruyó a todas las agencias federales civiles de Estados Unidos (FCEB) a aplicar el parche antes del 10 de noviembre de 2025, y exhortó al resto de las organizaciones públicas y privadas a tomar medidas preventivas inmediatas.
Las recomendaciones clave incluyen:
Aplicar de inmediato las actualizaciones de seguridad publicadas en junio de 2025.
Habilitar la firma SMB en todas las máquinas y servidores corporativos.
Desactivar el uso de NTLM donde sea posible, sustituyéndolo por mecanismos de autenticación más seguros como Kerberos.
Supervisar intentos de conexión SMB inusuales hacia servidores desconocidos.
Capacitar al personal técnico y de soporte sobre los riesgos de scripts SMB externos.
Otras vulnerabilidades bajo observación
Junto con CVE-2025-33073, CISA también ordenó la remediación de otras vulnerabilidades críticas activamente explotadas o con alto riesgo de uso inmediato:
CVE-2022-48503 – vulnerabilidad antigua que afecta versiones de iOS y macOS.
CVE-2025-61884 – vulnerabilidad SSRF recientemente corregida en Oracle E-Business Suite, potencialmente usada en ataques del grupo Cl0p.
CVE-2025-2746 y CVE-2025-2747 – fallas de bypass de autenticación en Kentico Xperience Staging Sync Server, descubiertas por investigadores de WatchTowr.
Conclusión
La explotación activa de CVE-2025-33073 subraya la importancia de mantener una estrategia de gestión de parches proactiva y continua.
Incluso vulnerabilidades ya corregidas pueden convertirse en armas efectivas cuando las organizaciones tardan en aplicar actualizaciones o mantienen configuraciones inseguras.
Los equipos de seguridad deben priorizar la corrección de esta falla en entornos Windows, reforzando la autenticación y monitoreando de manera constante el tráfico SMB en sus redes.
