El Centro de Respuesta de Seguridad de Microsoft (MSRC) ha emitido actualizaciones de seguridad relevantes para abordar una vulnerabilidad crítica en el servicio Puerta de Escritorio Remoto (RD) de Windows, identificada como CVE-2025-26677. Esta vulnerabilidad podría permitir a atacantes no autenticados originar condiciones de denegación de servicio (DoS), lo que podría interrumpir las funcionalidades de acceso remoto en entornos empresariales.
Adicionalmente, Microsoft ha publicado correcciones para una vulnerabilidad de ejecución remota de código en RD Gateway, designada como CVE-2025-29831, que presenta el potencial de perturbar las operaciones o comprometer la integridad del sistema.
El análisis técnico revela que la vulnerabilidad se debe al consumo incontrolado de recursos en el servicio de puerta de enlace de escritorio remoto, lo que permite a atacantes remotos sin autenticación agotar los recursos del sistema y provocar la interrupción del servicio en las conexiones de red.
A la vulnerabilidad se le ha asignado una clasificación de enumeración de debilidades comunes de CWE-400 (consumo de recursos no controlado).
«Esta vulnerabilidad es particularmente preocupante porque no requiere interacción del usuario y puede ser explotada por atacantes no autenticados desde ubicaciones remotas», explicó un experto en seguridad familiarizado con el asunto.
«Las organizaciones que dependen en gran medida de servicios de escritorio remoto para sus operaciones diarias podrían enfrentar interrupciones operativas significativas si son atacadas».
Microsoft ha asignado a la vulnerabilidad una clasificación de gravedad «Alta» con una puntuación base CVSS de 7,5 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C).
La puntuación refleja el vector de ataque a la red de la vulnerabilidad, la baja complejidad del ataque y el potencial de impacto de alta disponibilidad. Sin embargo, la vulnerabilidad no afecta la confidencialidad o integridad de los datos.
Varias versiones de Windows Server se ven afectadas, incluidas Windows Server 2016, Server 2019, Server 2022 y el último Server 2025.
Microsoft ha publicado actualizaciones de seguridad (KB5058383, KB5058392, KB5058385 y KB5058411) para solucionar el problema en todas las plataformas afectadas.
Según la evaluación de explotabilidad de Microsoft, la explotación activa de esta vulnerabilidad se considera actualmente «menos probable».
Sin embargo, se recomienda encarecidamente a los administradores del sistema que apliquen los parches inmediatamente como parte de los procedimientos estándar de mantenimiento de seguridad.
Los investigadores de seguridad k0shl y ʌ!ɔ⊥ojv de Kunlun Lab descubrieron la falla y la informaron a Microsoft mediante una divulgación coordinada de vulnerabilidades.
Otra vulnerabilidad relacionada que afecta al mismo componente del servicio es CVE-2025-29831, que podría permitir la ejecución remota de código a través de una debilidad Use After Free.
Esta vulnerabilidad tiene una puntuación CVSS de 7,5 y requiere la interacción del usuario, específicamente un usuario administrador que detenga o reinicie el servicio.
Las organizaciones deben priorizar la reparación de ambas vulnerabilidades durante su ventana de mantenimiento.
Si bien todavía no se han detectado exploits, estos tipos de servicios de puerta de enlace suelen ser el objetivo de actores de amenazas que buscan puntos de entrada a la red.
Los servicios de Remote Desktop Gateway son particularmente críticos para las organizaciones, ya que brindan conexiones seguras a recursos internos para trabajadores remotos.
La vulnerabilidad podría afectar potencialmente a las organizaciones que han implementado Windows Server con la función de puerta de enlace de Escritorio remoto habilitada y expuesta a Internet.
La Guía de actualización de seguridad de Microsoft indica que la explotación de la vulnerabilidad CVE-2025-26677 se produce cuando un atacante «induce el agotamiento de los recursos» en el servicio afectado. Esto sugiere una posible metodología de ataque relativamente simple una vez que es identificada por potenciales actores maliciosos.
Se recomienda encarecidamente a las organizaciones que operan versiones de Windows Server vulnerables aplicar las actualizaciones de seguridad de Microsoft a la brevedad y considerar la revisión de las configuraciones de red para restringir la exposición de los servicios de Puerta de Escritorio Remoto únicamente a redes consideradas seguras.
