Microsoft ha parcheado una vulnerabilidad crítica del kernel de Windows que ha sido explotada activamente durante casi dos años.
La vulnerabilidad, rastreada como CVE-2025-24983, se incluyó en el lanzamiento del parche del martes de marzo de 2025 de la compañía en marzo.
Según la empresa de ciberseguridad ESET, que descubrió e informó la vulnerabilidad, los atacantes han estado explotando esta falla desde marzo de 2023, lo que la convierte en una de las vulnerabilidades activas de mayor duración antes de su solución.
La vulnerabilidad existe en el subsistema del kernel de Windows Win32 y ha sido clasificada como una debilidad de uso después de la liberación (UAF) que permite a atacantes con privilegios bajos elevarse a privilegios de SISTEMA sin requerir la interacción del usuario.
A pesar de su impacto significativo, Microsoft calificó la vulnerabilidad como “Importante” en lugar de “Crítica” debido a la alta complejidad de la explotación, que requiere que los atacantes ganen una condición de carrera.
«La vulnerabilidad es un uso después de la liberación en el controlador Win32k», explicó ESET en su análisis técnico.
“En un determinado escenario logrado utilizando la API WaitForInputIdle, la estructura W32PROCESS se desreferencia una vez más de lo debido, lo que provoca UAF. Para alcanzar la vulnerabilidad, se debe ganar una condición de carrera”.
El investigador de ESET, Filip Jurčacko, que descubrió el exploit, descubrió que se estaba entregando a través de una sofisticada puerta trasera conocida como PipeMagic.
Esta puerta trasera, identificada por primera vez en 2022, es un troyano basado en complementos capaz de filtrar datos confidenciales y proporcionar a los atacantes acceso remoto completo a los dispositivos comprometidos.
El malware crea una canalización con nombre en el formato “\.\pipe\1.<cadena hexadecimal>” para recibir cargas útiles codificadas y comunicarse con servidores de comando y control.
En particular, el exploit se centró principalmente en versiones anteriores de Windows, incluidos Windows Server 2012 R2 y Windows 8.1, que Microsoft ya no admite.
Sin embargo, la vulnerabilidad también afecta a las versiones de Windows más nuevas pero aún más antiguas, incluidos los sistemas Windows Server 2016 y Windows 10 que ejecutan la compilación 1809 y versiones anteriores.
