La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) ha incorporado una vulnerabilidad crítica de Microsoft Windows a su catálogo de vulnerabilidades explotadas conocidas (KEV). Identificada como CVE-2025-29824, esta falla de seguridad reside en el controlador del sistema de archivos de registro común de Windows (CLFS) y se encuentra bajo explotación activa en ataques de ransomware dirigidos. Se recomienda encarecidamente a las organizaciones aplicar las actualizaciones de seguridad correspondientes antes del 29 de abril de 2025 para mitigar el riesgo de compromiso asociado a esta vulnerabilidad.
La falla de seguridad se clasifica como una vulnerabilidad Use-After-Free (UAF), clasificada en CWE-416, que ocurre cuando un programa intenta acceder a la memoria después de haber sido liberada.
Con una puntuación CVSS de 7,8, esta vulnerabilidad de elevación de privilegios (EoP) permite a un atacante con acceso local escalar a privilegios del SISTEMA, tomando efectivamente el control total del sistema afectado.
Microsoft parchó esta vulnerabilidad de día cero durante su actualización del martes de parches de abril de 2025 después de confirmar que estaba siendo explotada en la naturaleza.
El vector técnico de esta vulnerabilidad se representa como CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H, lo que indica requisitos de acceso local pero un alto impacto en la confidencialidad, integridad y disponibilidad si se explota con éxito.
El equipo de seguridad de Microsoft ha identificado una campaña de malware que distribuye el exploit a través de un troyano conocido como «PipeMagic». Esta puerta trasera modular se ha observado en estado salvaje desde 2022 y se ha utilizado anteriormente para ofrecer otros exploits de día cero de Windows.
“Los objetivos incluyen organizaciones en los sectores de tecnología de la información (TI) y bienes raíces de Estados Unidos, el sector financiero en Venezuela, una empresa de software española y el sector minorista en Arabia Saudita”, informó Microsoft.
La cadena de ataque comienza cuando los actores de amenazas utilizan la utilidad certutil para descargar malware de sitios legítimos de terceros previamente comprometidos.
El malware, disfrazado de un archivo MSBuild con una carga útil cifrada, descomprime y ejecuta PipeMagic, que luego entrega el exploit CVE-2025-29824.
Según Microsoft Threat Intelligence: «El exploit apunta a una vulnerabilidad en el controlador del kernel CLFS. Luego, el exploit utiliza una corrupción de memoria y la API RtlSetAllBits para sobrescribir el token del proceso de exploit con el valor 0xFFFFFFFF, habilitando todos los privilegios para el proceso, lo que permite la inyección del proceso en los procesos del SISTEMA».
Después de obtener privilegios elevados, los atacantes extraen las credenciales de los usuarios descargando la memoria del Servicio del Subsistema de la Autoridad de Seguridad Local (LSASS) e implementando ransomware que cifra archivos con extensiones aleatorias.
El resumen de la vulnerabilidad se proporciona a continuación:
- Productos afectados: Windows Server y varias versiones de Windows, incluidos sistemas x64 y 32 bits.
- Impacto: Elevación de privilegios (EoP).
- Requisitos: Se requiere acceso local; El atacante ya debe tener una cuenta de usuario estándar en el sistema.
- Puntuación CVSS: 7.8 (alta gravedad).
Orientación de CISA
CISA agregó CVE-2025-29824 a su catálogo KEV el 8 de abril de 2025, señalándolo como una amenaza importante que requiere atención inmediata.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar esta vulnerabilidad antes del 29 de abril de 2025, de acuerdo con la Directiva Operativa Vinculante (BOD) 22-01.
Para las organizaciones no federales, CISA recomienda encarecidamente implementar los mismos cronogramas de reparación para reducir el riesgo de compromiso.
La agencia enfatiza que el catálogo KEV debe usarse como “un aporte a su marco de priorización de gestión de vulnerabilidades”.
Las organizaciones deben aplicar de inmediato los parches de seguridad de Microsoft, limitar el acceso físico y local a los sistemas vulnerables y garantizar que las herramientas de detección y respuesta de terminales (EDR) estén configuradas correctamente para detectar intentos de explotación.
Esta vulnerabilidad resalta la amenaza constante de fallas a nivel del kernel y refuerza la importancia crítica de la administración oportuna de parches en el panorama de ciberseguridad actual.
