Lösungen

Preise

Partner

Login

Kostenlose Beratung
09.07.2025

Vulnerabilidad crítica en la autenticación de Windows

Queremos llamar su atención sobre una vulnerabilidad crítica de seguridad en Microsoft Windows que actualmente representa un riesgo agudo para su infraestructura informática. La vulnerabilidad con una puntuación CVSS de 9,8 afecta a casi todas las versiones actuales de Windows y Windows Server – incluido Windows Server 2008 R2 – y permite a los atacantes ejecutar código malicioso con privilegios del sistema sin interacción del usuario.

Es urgente una reparación inmediata de los sistemas afectados.

Investigadores en seguridad informática informan de ataques activos en los que, entre otras cosas, las sesiones web existentes fueron comprometidas y se obtuvieron autenticaciones sin que los usuarios lo supieran, lo que sugiere que la autenticación activa multifactor también podría ser eludida.

¿Qué ha pasado?

Microsoft ha identificado y publicado una vulnerabilidad grave (CVE-2025-47981) en el protocolo de autenticación SPNEGO NEGOEX, una parte importante de la autenticación de Windows en el entorno de dominio, entre otras cosas. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario con privilegios del sistema, sin iniciar sesión y sin ninguna acción del usuario.

La amenaza es especialmente grave porque Microsoft la clasifica como «wormable». Esto significa que el malware puede propagarse automáticamente a través de redes. Según Microsoft, se espera un primer abuso de esta vulnerabilidad en breve.

Vulnerabilidad reportada

La vulnerabilidad permite que atacantes no autenticados ejecuten código con privilegios del sistema mediante mensajes RED elaborados, provocando un «desbordamiento de búfer basado en heap». Esto es un error en el manejo de la memoria. Cuando se ejecutan, los programas reservan espacio en el llamado heap, una zona de memoria dinámica que se solicita de forma flexible en tiempo de ejecución.

Si se escribe más en esta área de lo previsto, se pueden manipular áreas de memoria vecinas. Esto permite a los atacantes inyectar y ejecutar su propio código malicioso, en este caso, incluso con los privilegios más altos.

¿Qué se ve afectado?

Esta vulnerabilidad afecta a todos los clientes de Windows a partir de Windows 10 versión 1607 porque estas versiones tienen activada por defecto la siguiente Directiva de Grupo: «Seguridad de red: Permitir solicitudesde autenticación PKU2U a este ordenador con identidades en línea».

Esta configuración por defecto significa que la superficie de ataque ya está activa en muchos sistemas, incluso sin ninguna configuración especial.

Los sistemas en los que NEGOEX se utiliza en combinación con los siguientes servicios también están particularmente en riesgo:

  • Active Directory / Controlador de dominio
  • Accesos RDP
  • Pasarelas VPN
  • Compartidos de archivos SMB
  • Gestión remota de Windows (WinRM)

¿Qué puedo hacer?

La vulnerabilidad CVE-2025-47981 supone una amenaza aguda para las redes basadas en Windows. La combinación de alta criticidad, facilidad de explotación y posibilidad de distribución automática hace que esta vulnerabilidad sea especialmente peligrosa.

Recomendamos que actúes de inmediato para evitar posibles daños:

  1. Prioridad: Instala las últimas actualizaciones de seguridad de Microsoft de inmediato, especialmente en sistemas accesibles públicamente o críticos para el negocio.
  2. Si no puedes parchear, bloquea el acceso de red a los puertos 135, 445 y 5985 si es técnicamente posible.
  3. Utiliza la Directiva de Grupo (GPO) para desactivar la opción «Permitir solicitudes de autenticación PKU2U» si no es necesaria.
  4. Revisa qué sistemas son potencialmente vulnerables y prioriza la protección de servicios sensibles como AD, RDP o VPN.

De expertos para expertos:

Nota importante: Tenga en cuenta que bloquear los puertos 135, 445 y 5985 puede provocar los siguientes efectos:

  • Compartidos de archivos (unidades de red): Puede que ya no sean accesibles.
  • Política de grupo: Las GPO pueden fallar o retrasarse dependiendo del entorno.
  • PowerShell remoto (WinRM): Soluciones basadas en scripts como SCCM, Ansible u otras herramientas de automatización pueden dejar de funcionar.
  • Acceso MI/DCOM: Las herramientas para monitorización, inventario o administración pueden verse interrumpidas, por ejemplo, al conectarse a sistemas remotos.

Así es como puedes identificar una posible explotación de la vulnerabilidad:

  • Utiliza EDR/antivirus con análisis de memoria (por ejemplo, Defender for Endpoint, CrowdStrike, SentinelOne) para detectar actividad sospechosa en la memoria.
  • Activa la monitorización del registro de eventos – presta especial atención a fallos de LSASS y conexiones de red inusuales.
  • Usa Sysmon (especialmente los eventos: ID 1: Inicio de proceso, ID 10: Acceso a otros procesos, ID 11: Operaciones de archivo)
Lösungen
Produkte:
Prävention
Risikobewertung
Notfallhilfe
Preise
Partner
Login
Kostenlose Beratung