La pila de Windows Update ha identificado fallas de seguridad, colocando a millones de sistemas de Windows en riesgo de ejecución de código no autorizada y escalada de privilegios.
Rastreado como CVE-2025-21204, la vulnerabilidad permite a los atacantes locales obtener acceso a nivel de sistema manipulando un proceso de actualización confiable y evitando los controles de seguridad estándar.
Este problema afecta a una amplia gama de versiones de Windows 10, Windows 11 y Windows Server, y es una gran amenaza tanto para los usuarios empresariales como individuales.
Vulnerabilidad de la pila de actualizaciones de Windows-CVE-2025-21204
La vulnerabilidad con una puntuación CVSS de 7.8 (High) se dirige a los componentes de la pila de actualizaciones de Windows, particularmente los procesos Musocoreworker.exe y Usoclient.exe.
A diferencia de las exploits complejas que requieren técnicas sofisticadas, CVE-2025-21204 representa lo que los expertos en seguridad llaman “vulnerabilidades de escalada de privilegios silenciosos”.
“Este CVE es una clase magistral de abuso de pases, redirigiendo ubicaciones confiables y escalada de privilegios utilizando componentes nativos. Todo lo que ama el equipo rojo y el equipo azul teme”, dijo Cyberdam a Cybersecurity News.
Los vectores de ataque explotan el defecto en el diseño en el que las pilas de Windows actualizan incorrectamente las uniones de directorio (también conocidas como puntos de montaje NTFS o enlaces simbólicos) y ejecutan scripts desde rutas o scripts controlados por el usuario sin imponer límites de privilegio de privilegios.
Un atacante con privilegios de usuario limitados puede crear una unión que redirige la ruta de confianza C: \ ProgramData \ Microsoft \ UpdateScack \ tareas a una ubicación que contiene código malicioso.
Cuando un proceso de actualización de Windows, como Musocoreworker.exe, se ejecuta de forma programada, sigue estas uniones a ubicaciones controladas por el atacante y ejecuta código malicioso con privilegios del sistema.
Esta técnica de explotación no requiere inyección de código o manipulación de memoria. Esto hace que sea particularmente difícil detectar el uso de herramientas de seguridad tradicionales.
Producción de la secta de detalle del factor de riesgo en Dows 10 Versión 1507 (10.0.10240.0 <10.0.10240.20978), Windows 10 Versión 1607 (10.0.14393.0 <10.0.14393.790), Windows 10 versión 1809 (10.0.177763.0 <10.0.1777737); Quizás otras versiones compatibles con Windows 10/11 y Versiones de Windows Server de versiones SimplePactLocal Privilege Escalation, Code ExecutionExPloit PrererequisitesTacker deben tener acceso local y privilegios limitados de usuarios en el sistema de destino. No se requiere interacción de usuario CVSS 3.1 puntaje 7.8 (alto)
alivio
La actualización acumulada de Microsoft en abril de 2025 (KB5055523) aborda la vulnerabilidad con una estrategia de mitigación anómala, incluida la creación de nuevas carpetas en las unidades del sistema: C: \ inetPub.
Por lo general, se asocia con los Servicios de Información de Internet (IIS), pero la apariencia de esta carpeta es intencional incluso en sistemas sin IIS instalados.
Esto sirve como parte de las mejoras de seguridad de Microsoft para pre-crear directorios específicos y mejorar el proceso de actualización contra ataques de enlaces simbólicos.
Los analistas de seguridad se han centrado en crear uniones sospechosas dirigidas a rutas de pila de actualizaciones de Windows y han desarrollado reglas de detección para identificar posibles intentos de explotación para monitorear las operaciones anómalas de archivos, incluido el directorio Microsoft \ UpdateStack.
Las organizaciones deben implementar las siguientes mitigaciones:
Aplique la actualización de seguridad de abril de 2025 para evitar ACL inmediatamente de C: \ ProgramData \ Microsoft \ UpdateStack. Evite la creación de enlaces simbólicos utilizando la actividad de creación de archivos de control de aplicaciones de defensor de Applocker o Windows (WDAC), ya sea que IIS esté instalado o no.
Las vulnerabilidades ilustran las tendencias de crecimiento de los actores de amenaza que aprovechan la confianza implícita en los sistemas de archivos en lugar de depender de las tecnologías complejas de corrupción de la memoria.
Los expertos en seguridad advierten que tales CVE “de bajo nivel” a menudo tienen un impacto importante a pesar de los métodos de explotación aparentemente simples.
Esta vulnerabilidad aparece junto con las otras 124 CVE fijadas en el lanzamiento del parche de abril de 2025 de Microsoft el martes.
“Este CVE no solo revela vulnerabilidades, sino que también destaca cómo las rutas de ejecución complejas y vulnerables y confiables son posibles en los entornos modernos de ventanas”, explicaron los investigadores.
“Para los atacantes, es el caparazón de un sistema de bajo ruido. Para los defensores, es un plan de cómo se ve LPE basado en archivos en el mundo real”.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
