Vulnerabilidad en Windows Server pone en riesgo a dependencias de gobierno

Es crucial que estas instituciones actúen de inmediato para mitigar las amenazas y reforzar sus sistemas de seguridad.

Foto: cortesía. Portal ERP México.

La unidad de investigación de SILIKN identificó que aproximadamente 10,280 dependencias gubernamentales mexicanas enfrentan un alto riesgo de ciberataques debido a la explotación activa de vulnerabilidades en Windows Server. Ante esta situación, es crucial que estas instituciones actúen de inmediato para mitigar las amenazas y reforzar sus sistemas de seguridad. Estas son las vulnerablidades detectadas:

• Vulnerabilidad CVE-2025-21391, presente en Windows Storage, permite la escalada de privilegios y podría ser explotada por un atacante para eliminar archivos específicos del sistema, aunque sin la capacidad de leer su contenido. Si bien esto no compromete la confidencialidad de los datos, sí representa una seria amenaza para su integridad y disponibilidad. Además, un atacante podría identificar enlaces o accesos directos que apunten a recursos no deseados basándose en el nombre de los archivos. Debido a su baja complejidad de explotación, esta vulnerabilidad representa un riesgo significativo para los sistemas afectados.
• Vulnerabilidad CVE-2025-21418, afecta al controlador de funciones auxiliares de Windows para WinSock y permite la escalada de privilegios debido a un desbordamiento de búfer. Si se explota con éxito, un atacante podría obtener privilegios de sistema, lo que le otorgaría un control total sobre el equipo comprometido. Esta falla impacta a múltiples versiones de Windows Server, incluyendo 2008, 2012, 2016, 2019, 2022 y 2025. Entre las vulnerabilidades detectadas, esta falla en WinSock es particularmente crítico, ya que permitiría a los atacantes instalar programas, modificar o eliminar datos, e incluso crear cuentas con privilegios administrativos, comprometiendo seriamente la seguridad e integridad de los sistemas gubernamentales.

Te puede interesar: Campaña de phishing en Microsoft 365 tiene como objetivo al gobierno mexicano

Aunque ambas vulnerabilidades están catalogadas como importantes y presentan puntuaciones CVSS en el rango de 7.x, se recomienda priorizar la aplicación de parches para la vulnerabilidad en el controlador AFD de Windows para WinSock. Esto se debe a que ha sido explotada activamente y representa una amenaza significativa para la seguridad, ya que puede comprometer los tres principios fundamentales de la ciberseguridad: confidencialidad, integridad y disponibilidad de los datos.

Además, se recomienda abordar de inmediato la vulnerabilidad CVE-2025-21376, una vulnerabilidad de día cero de ejecución remota de código en el Protocolo Ligero de Acceso a Directorios (LDAP) de WinServer. Aunque aún no ha sido explotada y su complejidad de ataque se considera alta, esta vulnerabilidad ha sido clasificada como crítica debido a que permite la ejecución remota de código en el servicio LDAP, el cual está integrado con Windows Active Directory. Un atacante no autenticado podría aprovechar esta vulnerabilidad para ejecutar código arbitrario a través de la red, lo que podría comprometer el sistema entero. Dado que Active Directory es fundamental para la autenticación y autorización en redes corporativas, su explotación podría permitir a los atacantes acceder a información confidencial, interrumpir servicios y propagarse a otros sistemas dentro de la red.

Para que un atacante explote con éxito esta vulnerabilidad, debe superar una condición de carrera, que ocurre cuando dos o más subprocesos intentan modificar datos compartidos simultáneamente. Un atacante no autenticado podría enviar una solicitud específicamente diseñada a un servidor LDAP vulnerable, y si la explotación tiene éxito, podría provocar un desbordamiento de búfer que permitiría la ejecución remota de código.

Las organizaciones presentan una gran diversidad en sus enfoques para la aplicación de parches. Las entidades con departamentos de seguridad de la información más experimentados suelen probar los parches en laboratorios, implementarlos y utilizar análisis de vulnerabilidades para garantizar que todo esté debidamente actualizado. Sin embargo, las dependencias gubernamentales enfrentan dificultades para dedicar tiempo a las pruebas, lo que provoca retrasos en la instalación de parches y aumenta su exposición a posibles ciberataques.

En este sentido, las dependencias gubernamentales deberían priorizar la aplicación de los parches y, posteriormente, evaluar sus herramientas de gestión de parches y vulnerabilidades, ya que estas herramientas suelen ser fundamentales para el buen funcionamiento de las dependencias. Aunque existen soluciones de verificación más económicas, a menudo no ofrecen una visión integral, lo que puede limitar su efectividad en la identificación y gestión de riesgos.

Las herramientas de gestión de parches informan al departamento de sistemas de las dependencias si un parche ha sido aplicado, pero no siempre aseguran que la vulnerabilidad se haya corregido o que el sistema esté correctamente configurado. En tales casos, las herramientas de gestión de vulnerabilidades son las encargadas de verificar que la vulnerabilidad haya sido efectivamente solucionada.

De esta manera, la unidad de investigación de SILIKN ha identificado que aproximadamente 10,280 dependencias gubernamentales están en riesgo y deben tomar medidas urgentes frente a las vulnerabilidades de Windows Server que están siendo explotadas activamente.