Una reciente actualización de seguridad de Microsoft destinada a parchear las vulnerabilidades de escalada de privilegios críticos ha introducido incorrectamente un nuevo defecto crítico.
Esta solución permite a los usuarios no dosis bloquear de manera efectiva todas las actualizaciones futuras de seguridad de Windows y crear la denegación de condiciones de servicio.
Esta consecuencia involuntaria del parche destaca la complejidad de la seguridad del software y el desafío persistente de prevenir vulnerabilidades inesperadas.
Vulnerabilidades de enlace simbólico y correcciones de Microsoft
En abril de 2025, Microsoft lanzó una actualización de seguridad para abordar CVE-2025-21204. Esta es una vulnerabilidad calificada como “importante” con un puntaje CVSS 3.1 de 7.8.
La falla incluía una resolución de enlace incorrecta antes del acceso al archivo (“enlace seguir”) en la pila de actualizaciones de Windows.
Para mitigar esta vulnerabilidad, Microsoft ha implementado una solución que crea automáticamente una carpeta llamada “InetPub” en las unidades del sistema en todos los sistemas de Windows, ya sea que se instale o no los Servicios de Información de Internet (IIS).
Microsoft ha advertido explícitamente a los usuarios que no eliminen esta carpeta, ya que es una parte integral de la mejora de la seguridad.
Nuevas vulnerabilidades de DOS
El investigador de seguridad Kevin Beaumont descubrió que la solución introduce una vulnerabilidad en el servicio que permite a los usuarios no administradores bloquear permanentemente las actualizaciones de seguridad de Windows.
Beaumont descubrió que las simples operaciones de línea de comandos permiten a los usuarios crear puntos de unión (tipos de redirección del sistema de archivos en Windows) que rompen el mecanismo de actualización.
“No los usuarios de Admin (y Admin) pueden crear puntos de unión en C”, explicó Beaumont en su estudio. El método de explotación requiere solo privilegios estándar del usuario y acceso básico a la línea de comandos.
La vulnerabilidad se puede explotar a través de un comando simple que crea un enlace simbólico entre la carpeta inetPub protegida y el archivo del sistema.
Este comando crea una unión que redirige C: \ inetpub a Windows Notepad. Una vez que se establece esta unión, las actualizaciones de Windows encuentran un error al intentar interactuar con la carpeta, y la actualización falla o retrocede.
“A partir de ese momento, cualquier actualización (y actualizaciones futuras) para la actualización del sistema operativo Windows de abril de 2025 (y a menos que Microsoft las arregle) no se instalará: un error o un reversión.
El aspecto más preocupante de esta vulnerabilidad es que no requiere privilegios administrativos para explotar.
Los usuarios estándar pueden crear estos puntos de unión en muchos sistemas configurados predeterminados, evitando que las actualizaciones de seguridad críticas se instalen en todo el sistema.
Esto no es solo una negación temporal del servicio. Este es un problema permanente que continúa hasta que alguien resuelva manualmente la unión o reinstale el sistema.
Los expertos en seguridad advierten que esto puede ser fácilmente escrita e implementado por malware o actores maliciosos que intentan hacer que el sistema sea vulnerable a otras exploits.
Beaumont informó sus hallazgos al centro de respuesta de seguridad de Microsoft hace aproximadamente dos semanas, pero aún no ha recibido una respuesta.
Hasta que Microsoft aborde este problema, se aconseja a los administradores del sistema que supervisen las unidades del sistema en puntos anormales de unión.
¿Eres de los equipos SOC y DFIR? – Analice los incidentes de malware y comience cualquiera.run-> gratis.
