Los fallas de seguridad recientemente revelados en el defensor de Microsoft para puntos finales permiten a los atacantes con acceso local para aumentar los privilegios al nivel del sistema, lo que potencialmente les brinda un control completo sobre los sistemas afectados.
La vulnerabilidad rastreada como CVE-2025-26684 fue parcheada como parte de la actualización de seguridad del martes del parche de mayo de 2025 lanzada ayer.
Los investigadores de seguridad han identificado la vulnerabilidad como una debilidad en el “control externo de los nombres o rutas” de Microsoft Defender para puntos finales.
Las vulnerabilidades recibieron una puntuación CVSS de 6.7 de 10 y las clasificaron como gravedad “significativa” en lugar de “significativa”.
Detalles técnicos de CVE-2025-26684
Según el aviso oficial del Centro de Respuesta a la Seguridad de Microsoft, los atacantes que explotan esta vulnerabilidad pueden obtener privilegios del sistema y esencialmente tener un control total sobre el sistema comprometido.
Este nivel de acceso permite a los actores maliciosos instalar programas, modificar o eliminar datos, y crear una cuenta con control completo.
“La vulnerabilidad se atribuye a la verificación inapropiada de las entradas respaldadas por el usuario al procesar rutas de archivos de defensor de Microsoft para puntos finales”, explica Rich Mirch, un experto en ciberseguridad en Stratascale, explica uno de los investigadores que se cree que descubrieron las defectos.
“Si se explota, un atacante puede manipular las operaciones de archivos para acceder a los recursos restringidos del sistema”.
Esta vulnerabilidad afecta particularmente a Microsoft Defender para las versiones de Linux de Endpoint antes de 101.25xxx.
Las organizaciones que ejecutan esta solución de seguridad deben garantizar que las últimas actualizaciones de seguridad se apliquen de inmediato.
Microsoft clasifica la evaluación de explotabilidad como “la explotación es poco probable”, lo que indica que considera que la vulnerabilidad es grave pero relativamente baja en una explotación generalizada.
La compañía también confirmó que no había evidencia de que la vulnerabilidad hubiera sido publicada o explotada en la naturaleza antes de la liberación del parche.
Las vulnerabilidades se descubrieron a través de revelaciones de vulnerabilidades coordinadas, dando crédito a los investigadores de seguridad Astraryureka y Rich Milch de Stratascale.
El factor de riesgo utiliza el defensor del producto para la versión de punto final (Linux) antes de la escalada de privilegios de los ejercicios de acceso a nivel de producto para la versión endpoint (Linux).
Lo repararé de inmediato
La vulnerabilidad fue uno de los 78 defectos de seguridad abordados en el parche de Microsoft el martes de mayo de 2025.
Los administradores de seguridad pueden verificar que la actualización se instale ejecutando el analizador de clientes MDE en dispositivos potencialmente afectados.
Según el informe de asesoramiento de Microsoft, “Cuando ejecute el analizador en un dispositivo de Windows que no tiene actualizaciones de seguridad, el analizador se perderá el parche y proporcionará una advertencia (ID 121035) que lo dirigirá al artículo en línea relevante”.
Esta falla destaca la importancia continua de aplicar rápidamente parches de seguridad, especialmente para productos de seguridad diseñados para proteger su sistema de otras amenazas.
Si bien el defensor de Microsoft tiene como objetivo actuar como una herramienta defensiva, las vulnerabilidades en los propios productos de seguridad pueden crear graves riesgos cuando se explotan.
Las organizaciones que usan Microsoft Defender para sus puntos finales deben priorizar la instalación de las últimas actualizaciones de seguridad como parte de su ciclo de gestión de parches normal.
En los entornos donde no es posible parches inmediatos, los equipos de seguridad deben implementar un monitoreo adicional para intentos de escalada de privilegios sospechosos y una actividad anómala a nivel de sistema que podría indicar un intento de explotar.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
