Una vulnerabilidad crítica en la puerta de enlace de escritorio remota de Microsoft (RD Gateway) permite que un atacante ejecute remotamente código malicioso en un sistema afectado.
Microsoft reveló la vulnerabilidad rastreada como CVE-2025-21297 en una actualización de seguridad de enero de 2025 y desde entonces ha sido explotada activamente en la naturaleza.
Los defectos descubiertos e informados por Victorv (Tang Tianwen) en Kunlun Lab se derivan de un error desperdiciado (UAF) desencadenado por conexiones de zócalo simultáneos durante la inicialización del servicio de puerta de enlace de escritorio remoto.
Específicamente, la vulnerabilidad reside en la biblioteca aaedge.dll dentro de la función ctsgmsgserver :: getCtSGMSGServerInstance, con el puntero global (m_pmsgsvrinstance) inicializado sin una sincronización adecuada de subproces.
“Las vulnerabilidades ocurren cuando múltiples hilos sobrescriben el mismo puntero global, rompiendo el recuento de referencias y, en última instancia, lo que lleva a la declaración de un puntero colgante (un escenario clásico de la UAF)”, explica el aviso de seguridad.
Las condiciones de carrera permiten a los atacantes explotar los problemas de tiempo que pueden hacer que la asignación de memoria y la asignación de puntero ocurran en sincronización, lo que lleva a la ejecución de código arbitraria. Microsoft ha asignado una puntuación CVSS de 8.1 para la vulnerabilidad, lo que indica una alta gravedad.
Windows Remote Desktop Gateway UAF Vulnerabilidad
Los investigadores dicen que la explotación exitosa requiere que los atacantes:
Conéctese a un sistema que ejecuta el rol de puerta de enlace RD. Activar una conexión de conexión a la puerta de enlace RD (a través de múltiples enchufes). Aproveche los problemas de tiempo que ocurren cuando la asignación de memoria y la asignación de puntero no se sincronizan. Causa una conexión para sobrescribir el puntero antes de que otra conexión se refiera a él.
El exploit contiene una línea de tiempo de nueve etapas de colisiones de montón entre hilos, y el bloque liberado de la memoria se usa finalmente, abriendo la puerta para la ejecución del código arbitrario.
Múltiples versiones de Windows Server que utilizan puertas de enlace RD para un acceso remoto seguro incluyen:
Windows Server 2016 (instalación central y estándar). Windows Server 2019 (instalación central y estándar). Windows Server 2022 (instalación central y estándar). Windows Server 2025 (instalación central y estándar).
Las organizaciones que usan RD Gateway como un punto de acceso crítico para empleados, contratistas o socios remotos están especialmente en riesgo.
Al introducir Sync basada en Mutex, Microsoft abordó la vulnerabilidad el martes en el parche de mayo de 2025, permitiendo solo un hilo para inicializar la instancia global en cualquier momento. Las siguientes actualizaciones de seguridad están disponibles:
Windows Server 2016: actualizar KB5050011. Windows Server 2019: actualización KB5050008 (compilación 10.0.17763.6775). Windows Server 2022: actualización KB5049983 (compilación 10.0.20348.3091). Windows Server 2025: actualizar KB5050009 (compilación 10.0.26100.2894).
Se insta a los expertos en seguridad a aplicar estos parches a las organizaciones de inmediato. “La vulnerabilidad representa un riesgo significativo para un entorno empresarial que se basa en puertas de enlace de escritorio remotas para un acceso remoto seguro”, dijo un investigador de seguridad que está familiarizado con el problema.
Hasta que sea posible parches, se aconseja a las organizaciones que consideren la implementación de la protección a nivel de la red para monitorear los registros de la puerta de enlace RD para una actividad inusual y limitar las conexiones entrantes a fuentes de confianza.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
