Una seria vulnerabilidad en Windows 11 permitió que un atacante se intensifique de un usuario modesto a un administrador de sistema completo en solo 300 milisegundos.
La vulnerabilidad rastreada como CVE-2025-24076 aprovecha las debilidades de la funcionalidad del “dispositivo móvil” de Windows 11 a través de una sofisticada tecnología de secuestro de DLL.
La falla de seguridad, descubierta en septiembre de 2024 y publicada el 15 de abril de 2025, se dirige a los archivos DLL cargados por la función de la cámara en Windows 11.
Los investigadores han descubierto que el archivo CrossDevice.streaming.source.dll, ubicado en el directorio %ProgramData %\ CrossDevice \, que los usuarios pueden cambiar, se carga primero por un proceso de usuario regular, luego por un costoso proceso del sistema.
“La vulnerabilidad representa un escenario clásico de secuestro de DLL con elementos de tiempo desafiantes”, dijo John Ostrowski de Compass Security a CyberSecurity News. “La ventana de oportunidad es increíblemente 300 milisegundos, pero hemos desarrollado técnicas para que la explotación sea confiable”.
Vulnerabilidad de escalada de privilegios de Windows 11
La explotación implica múltiples desafíos técnicos. Un escaneo automático inicial utilizando la herramienta PrivesCcheck reveló que los usuarios no oficiales tienen derecho a modificar los archivos del módulo del servidor COM.
Para superar el período de tiempo limitado, los investigadores adoptaron un bloqueo oportunista para evitar que el programa se ejecute en el momento exacto necesario.
Utilicé la biblioteca Detours de Microsoft para interceptar las llamadas de la API de Windows y apuntar a GetFileVersionInfoExw específicamente para identificar cuándo un archivo podría cambiarse de manera confiable.
Los investigadores han creado DLL maliciosos que mantienen la funcionalidad esperada al tiempo que agregan comandos malformados.
Este código se ejecuta con privilegios del sistema cuando se carga por un poderoso proceso. Para garantizar las capacidades de mantenimiento de los DLL reemplazados, los investigadores implementaron un proxy que reenvía las llamadas de función a la DLL original.
alivio
La vulnerabilidad afecta a los sistemas Windows 11 con capacidades de “dispositivo móvil”. Esto permite a los usuarios vincular sus teléfonos para usar la cámara del teléfono como cámara web. Microsoft lanzó el parche en su actualización de seguridad de marzo de 2025.
Este hallazgo resalta la importancia del control de acceso de archivos ajustado y la verificación de la firma en el proceso privilegiado.
Las soluciones de detección y respuesta de punto final (EDR) pueden detectar tales ataques a través del monitoreo de comportamiento, incluso antes de los parches disponibles.
“Es importante mantener su sistema actualizado, pero hay pasos adicionales que puede tomar para proteger su máquina”, dijeron los investigadores. “Las soluciones EDR nos permiten detectar activamente un comportamiento anormal e identificar la actividad irregular”.
Dentro de la misma característica, Microsoft ha asignado CVE-2025-24076 a la escalada de privilegio de nivel primario de nivel del sistema y vectores de ataque de usuario a usuario asociados con CVE-2025-24994.
Se recomienda encarecidamente a los usuarios a aplicar las últimas actualizaciones de seguridad de Windows para mitigar estas vulnerabilidades.
Las exploits muestran cómo incluso los sistemas operativos modernos son vulnerables a las tecnologías de ataque a largo plazo, especialmente cuando se implementan en nuevas características, cuando los atacantes calificados aprovechan el tiempo y las condiciones raciales.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
