Vulnerabilidad Zero-Day (CVE-2026-15682) Provoca Denegación de Servicio Local en AnyDesk

Ciberataque a AnyDesk: Importante Proveedor de Acceso Remoto Confirma Brecha de Seguridad

Se ha revelado una nueva vulnerabilidad de Zero-Day en AnyDesk, una de las herramientas de escritorio remoto más utilizadas a nivel corporativo. Identificada como CVE-2026-15682, esta falla permite a atacantes locales abusar del sistema de archivos de Windows para provocar un estado de Denegación de Servicio (DoS), bloqueando la aplicación o el sistema y afectando la continuidad de las operaciones de soporte técnico.


Veredicto Analítico
  • Estado: Vulnerabilidad Zero-Day activa. Reportada por la Zero Day Initiative (ZDI), actualmente a la espera de un parche oficial por parte del proveedor.
  • Confianza: Absoluta. Validado por reportes de investigadores independientes y el historial reciente de vulnerabilidades arquitectónicas similares en el producto.
  • Riesgo para SOC, TDIR y Redes: Medio / Alto. Aunque la explotación remota directa no es posible (el atacante requiere acceso local previo), el impacto sobre la disponibilidad es severo. En entornos de trabajo compartidos (servidores de terminales) o máquinas ya parcialmente comprometidas por malware de bajos privilegios, este fallo permite interrumpir los canales de administración remota legítimos del equipo de TI.
  • Urgencia Operativa: Media. A la espera de un parche oficial, la mitigación recae en el endurecimiento de los privilegios locales de las estaciones de trabajo y la monitorización de comportamientos anómalos en el sistema de archivos.
  • Base del Veredicto: Abuso de la función “Enviar información de soporte” combinada con la manipulación de puntos de reanálisis del sistema de archivos (Puntos de Unión) para forzar escrituras de archivos fuera de los límites permitidos.

Hallazgos Clave
  • Vulnerabilidad Identificada: CVE-2026-15682 (Denegación de Servicio Local).
  • Componente Afectado: Función “Enviar información de soporte” de AnyDesk.
  • Condición de Explotación: Requiere que el atacante ya posea acceso local (incluso con privilegios bajos) para ejecutar código en la máquina objetivo. No es explotable a través de la red sin este acceso previo.
  • Contexto Histórico: AnyDesk tiene un historial de vulnerabilidades relacionadas con la mala gestión de enlaces simbólicos y puntos de reanálisis (fallos de 2024 permitían escalada de privilegios bajo este mismo esquema).

Análisis Técnico: Mecanismo de Explotación

La vulnerabilidad explota una falla lógica en la forma en que AnyDesk maneja las rutas de diagnóstico:

  • Infiltración Inicial: El atacante, operando con una cuenta de usuario estándar o mediante un script malicioso previamente ejecutado en la máquina, interactúa con el sistema de archivos local.
  • Manipulación del Sistema de Archivos: El atacante crea un “Punto de Unión” (Junction Point), un tipo de punto de análisis de Windows que redirige las operaciones de lectura/escritura de un directorio a otro. Configura este punto de unión en el directorio que AnyDesk utiliza temporalmente para generar sus datos de diagnóstico.
  • Activación de la Falla: El atacante invoca la función “Enviar información de soporte” de AnyDesk.
  • Impacto (Denegación de Servicio): El servicio de AnyDesk, que normalmente opera con privilegios elevados (SYSTEM), sigue ciegamente el punto de unión creado por el atacante. Al intentar guardar la información, termina escribiendo archivos arbitrarios en ubicaciones críticas del sistema operativo o sobrescribiendo componentes vitales del propio AnyDesk, provocando un colapso total de la aplicación o inestabilidad en el sistema operativo (DoS).

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Impacto: Denegación de Servicio en el Endpoint (Endpoint Denial of Service – T1499) afectando la disponibilidad del servicio.
  • Evasión de Defensas / Manipulación: Enlaces Simbólicos / Puntos de Unión (File and Directory Discovery / Manipulation).

Recomendaciones Operativas

Para Administración de Redes, Endpoint y TI (Acción Prioritaria)

  • Monitoreo de Actualizaciones: Mantener una vigilancia estricta sobre los avisos de seguridad de AnyDesk para desplegar la actualización que solucione el CVE-2026-15682 tan pronto como esté disponible.
  • Principio de Menor Privilegio: Asegurar que los usuarios estándar no tengan permisos para ejecutar software no autorizado o scripts (PowerShell/CMD) que faciliten la creación de puntos de unión en directorios temporales o de aplicaciones (%APPDATA%, %PROGRAMDATA%).
  • Reevaluación de Herramientas: Dado el historial de brechas de seguridad recientes de AnyDesk (incluyendo el compromiso de su entorno de producción en 2024), se recomienda a la gerencia de TI evaluar constantemente el perfil de riesgo de esta herramienta frente a alternativas de acceso remoto corporativo.

Para el Centro de Operaciones de Seguridad (SOC)

  • Detección de Puntos de Unión: Configurar reglas en el EDR para alertar sobre la creación inusual de Puntos de Unión (Junction Points) o Enlaces Simbólicos en los directorios de trabajo de AnyDesk (C:\ProgramData\AnyDesk\ o el AppData del usuario).
  • Supervisión de Disponibilidad: Monitorear cierres inesperados continuos del servicio AnyDesk.exe, lo cual podría ser un indicador de un intento de sabotaje local para cortar el acceso remoto del equipo de soporte.

Related Post