Una importante vulnerabilidad de seguridad, identificada como CVE-2025-32710, ha sido descubierta en los Servicios de Escritorio Remoto de Windows. Esta falla permite la ejecución remota de código arbitrario sin necesidad de autenticación.
Publicada el 10 de junio de 2025, la vulnerabilidad impacta a diversas versiones de Windows Server y ha recibido una puntuación CVSS de 8.1. Esta calificación subraya su alta gravedad y el potencial de comprometer significativamente los sistemas afectados.
La debilidad se origina por una combinación de una condición de «uso después de la liberación» (use-after-free) y una condición de carrera dentro del servicio Remote Desktop Gateway. Esto posibilita que atacantes tomen control total de los sistemas vulnerables mediante explotaciones basadas en la red.
CVE-2025-32710 representa una sofisticada vulnerabilidad de corrupción de memoria clasificada en dos categorías de enumeración de debilidades comunes (CWE): CWE-416 (uso después de la liberación) y CWE-362 (ejecución simultánea utilizando recursos compartidos con sincronización incorrecta).
La cadena de vector CVSS de la vulnerabilidad CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C indica un vector de ataque basado en red que requiere alta complejidad pero sin privilegios ni interacción del usuario.
El mecanismo de explotación técnica implica que un atacante se conecte a un sistema que ejecuta la función de puerta de enlace de escritorio remoto y desencadene una condición de carrera que crea un escenario de uso después de la liberación.
Esta corrupción de la memoria permite al atacante manipular regiones de memoria liberadas, lo que podría provocar la ejecución de código arbitrario con privilegios a nivel del sistema.
La complejidad del ataque de la vulnerabilidad se califica como alta porque la explotación exitosa requiere ganar una condición de carrera, lo que lo hace desafiante, pero no imposible, para determinados actores de amenazas.
La evaluación de impacto revela la máxima gravedad en los tres dominios de seguridad: la confidencialidad, la integridad y la disponibilidad se califican como «Altas».
Esto significa que una explotación exitosa podría comprometer completamente el sistema, incluido el acceso no autorizado a datos confidenciales, la modificación de las configuraciones del sistema y posibles condiciones de denegación de servicio que afecten las operaciones comerciales.
A los investigadores de seguridad SmallerDragon y ʌ!ɔ⊥ojv de Kunlun Lab se les atribuye el descubrimiento y la divulgación responsable de esta vulnerabilidad a través de procesos de divulgación coordinados.
Detalles de la vulnerabilidad:
- Productos Afectados: Windows Server 2008 (sistemas basados en x64 y 32 bits con Service Pack 2), Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022 y el último Windows Server 2025.
- Impacto: Ejecución remota de código.
- Requisitos: Acceso de red a RDP Gateway, explotación de la condición de carrera en el manejo de recursos compartidos.
- Puntuación CVSS 3.1: 8.1 (Alto)
Sistemas afectados y actualizaciones de seguridad
Microsoft ha identificado varias versiones de Windows Server vulnerables a CVE-2025-32710, desde sistemas heredados hasta versiones actuales.
Las plataformas afectadas incluyen Windows Server 2008 (sistemas basados en 32 bits y x64 con Service Pack 2), Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022 y el último Windows Server 2025.
Cada versión del sistema afectada ha recibido las actualizaciones de seguridad correspondientes con números de base de conocimiento (KB) específicos.
Por ejemplo, Windows Server 2025 recibe las actualizaciones KB5058411 y KB5058497, lo que lleva el sistema a la versión 10.0.26100.4061.
Los sistemas Windows Server 2022 requieren las actualizaciones KB5058385 y KB5058500, actualizándose a la compilación 10.0.20348.3692. Los sistemas heredados como Windows Server 2008 reciben las actualizaciones KB5061198 y KB5058429, llegando a la versión 6.0.6003.23317.
Las actualizaciones de seguridad se entregan a través de los canales de distribución de parches estándar de Microsoft, incluidos Windows Update, Windows Server Update Services (WSUS) y Microsoft Update Catalog.
Las organizaciones que utilizan instalaciones Server Core se ven igualmente afectadas y deben aplicar los parches correspondientes para mantener su postura de seguridad.
A pesar de la clasificación de gravedad crítica, la evaluación de explotabilidad de Microsoft clasifica esta vulnerabilidad como «Explotación menos probable» debido a los requisitos de alta complejidad del ataque.
La vulnerabilidad no se ha divulgado públicamente a través de otros canales y no se ha observado ninguna explotación activa en el momento de la publicación.
Las organizaciones deben priorizar la implementación inmediata de las actualizaciones de seguridad de junio de 2025 en todas las instalaciones de Windows Server afectadas.
Se deben implementar controles de acceso y segmentación de red para limitar la exposición de los Servicios de Escritorio remoto a redes que no son de confianza. Además, habilitar Windows Defender u otras soluciones de protección de terminales puede proporcionar capas adicionales de defensa contra posibles intentos de explotación.
