Aspectos Principales
1. Una falla crítica en el controlador OpenVPN de Windows (CVE-2025-50054) permitió a atacantes locales bloquear los sistemas.
2. La vulnerabilidad permitió ataques de denegación de servicio pero no expuso los datos del usuario.
3. OpenVPN 2.7_alpha2 soluciona el problema y mejora la compatibilidad con Windows.
4. Los usuarios deben actualizar rápidamente y restringir el acceso a los controladores hasta que haya parches estables disponibles.
Se ha identificado una vulnerabilidad crítica de desbordamiento de búfer (CVE-2025-50054) en el controlador de descarga del canal de datos de OpenVPN para Windows. Esta falla permite que un atacante local provoque el bloqueo del sistema operativo Windows al enviar mensajes de control maliciosamente elaborados.
La vulnerabilidad afecta específicamente a las versiones 1.3.0 y anteriores del controlador ovpn-dco-win, así como a la versión 2.5.8 y anteriores de OpenVPN, que ha sido el adaptador de red virtual predeterminado desde la versión 2.6.
Investigadores de seguridad descubrieron que esta vulnerabilidad permite a procesos de usuarios locales sin privilegios enviar búferes de mensajes de control excesivamente grandes al controlador del kernel. Esto desencadena un desbordamiento del búfer, lo que conduce a una falla completa del sistema.
Esta situación representa un riesgo significativo de denegación de servicio (DoS) para los sistemas afectados, ya que un atacante podría bloquear repetidamente las máquinas Windows que ejecutan versiones vulnerables de OpenVPN.
Según los expertos en seguridad, la manipulación con datos de entrada no validados genera un desbordamiento del búfer basado en el montón. La explotación de esta vulnerabilidad afecta la disponibilidad del sistema, pero no compromete la confidencialidad ni la integridad de los datos.
El equipo del proyecto de la comunidad OpenVPN respondió lanzando OpenVPN 2.7_alpha2, que incluye una solución para CVE-2025-50054, entre varias otras mejoras. Si bien se trata de una versión alfa que no está destinada al uso en producción, la solución de seguridad aborda la vulnerabilidad crítica que afecta a las versiones estables ampliamente implementadas.
El controlador ovpn-dco-win, que significa “Descarga de canal de datos OpenVPN para Windows”, representa una mejora arquitectónica significativa con respecto a implementaciones de controladores anteriores.
A diferencia de los enfoques tradicionales, el controlador DCO procesa el tráfico VPN directamente en el kernel de Windows en lugar de enviar datos de un lado a otro entre el usuario y el espacio del kernel, lo que resulta en un rendimiento sustancialmente mejorado.
«Cuando se utiliza ovpn-dco-win, el software OpenVPN no envía tráfico de datos entre el usuario y el espacio del kernel para cifrado, descifrado y enrutamiento, pero las operaciones en la carga útil se llevan a cabo en el kernel de Windows», según la documentación de OpenVPN.
El controlador se desarrolla utilizando marcos modernos, incluidos WDF y NetAdapterCx, lo que facilita su mantenimiento en comparación con los controladores de minipuerto NDIS existentes.
Con la versión 2.7_alpha2, OpenVPN ha eliminado oficialmente la compatibilidad con el controlador wintun, lo que convierte a win-dco en el predeterminado y tap-windows6 sirve como alternativa para casos de uso no cubiertos por win-dco.
La nueva versión también introduce varias mejoras arquitectónicas para Windows, incluidos filtros WFP para el indicador de bloqueo local, generación bajo demanda de adaptadores de red y un contexto de usuario sin privilegios para el servicio automático de Windows.
Los expertos en seguridad recomiendan que los usuarios de las versiones afectadas actualicen a versiones parcheadas tan pronto como estén disponibles las versiones estables. Hasta entonces, los administradores deberían considerar implementar mitigaciones para restringir el acceso local a las interfaces del controlador OpenVPN.
Los usuarios de Windows pueden descargar la nueva versión alfa en formatos de instalación MSI de 64 bits, ARM64 o 32 bits, todos los cuales incluyen la solución de seguridad para la vulnerabilidad de desbordamiento del búfer.
