Se ha detectado una vulnerabilidad de seguridad crítica en el componente Windows Update Stack, la cual representa un riesgo significativo de ejecución de código arbitrario y escalada de privilegios en numerosos sistemas operativos Windows.
Identificada con el código CVE-2025-21204, esta falla permite a actores malintencionados con acceso local obtener privilegios a nivel de SISTEMA mediante la manipulación de procesos de actualización legítimos, eludiendo las medidas de seguridad convencionales.
Este problema de seguridad afecta a una amplia gama de versiones de Windows 10, Windows 11 y Windows Server, lo que la convierte en una amenaza considerable tanto para entornos empresariales como para usuarios individuales.
Vulnerabilidad de la actualización de Windows: CVE-2025-21204
La vulnerabilidad, que tiene una puntuación CVSS de 7,8 (alta), se dirige a los componentes de Windows Update Stack, específicamente a los procesos MoUsoCoreWorker.exe y UsoClient.exe que se ejecutan con privilegios de SISTEMA.
A diferencia de los exploits complejos que requieren técnicas sofisticadas, CVE-2025-21204 representa lo que los expertos en seguridad llaman una “vulnerabilidad silenciosa de escalada de privilegios” que se mezcla con el comportamiento normal del sistema operativo abusando de la confianza en lugar de explotar la corrupción de la memoria.
«Este CVE es una clase magistral sobre abuso de rutas, redirección de ubicaciones confiables y escalada de privilegios utilizando componentes nativos: todo lo que un equipo rojo ama y un equipo azul teme», dijo Cyberdom a Cyber Security News.
El vector de ataque explota una falla de diseño donde los procesos de Windows Update Stack siguen incorrectamente uniones de directorios (también conocidas como puntos de montaje NTFS o enlaces simbólicos) y ejecutan scripts desde rutas controladas por el usuario sin validar sus orígenes ni imponer límites de privilegios.
Un atacante con privilegios de usuario limitados puede crear una unión que redirija la ruta confiable C:\ProgramData\Microsoft\UpdateStack\Tasks a una ubicación que contenga código malicioso.
Cuando los procesos de Windows Update como MoUsoCoreWorker.exe se ejecutan según lo programado, siguen estas uniones hasta la ubicación controlada por el atacante y ejecutan el código malicioso con privilegios de SISTEMA.
Esta técnica de explotación no requiere inyección de código ni manipulación de la memoria, lo que hace que sea particularmente difícil de detectar utilizando herramientas de seguridad tradicionales.
A continuación los detalles de la vulnerabilidad:
- Productos afectados: Windows 10 versión 1507 (10.0.10240.0 < 10.0.10240.20978), Windows 10 versión 1607 (10.0.14393.0 < 10.0.14393.7970), Windows 10 versión 1809 (10.0.17763.0 < 10.0.17763.7137); probablemente otras versiones compatibles de Windows 10/11 y Windows Server
- Impacto: Escalada de privilegios locales, ejecución de código
- Requisitos: El atacante debe tener acceso local y privilegios de usuario limitados en el sistema de destino; no se requiere interacción del usuario.
- Puntuación CVSS 3.1: 7.8 (Alto)
Mitigaciones y recomendaciones
La actualización acumulativa de Microsoft de abril de 2025 (KB5055523) aborda la vulnerabilidad con una estrategia de mitigación inusual que incluye la creación de una nueva carpeta en la raíz de las unidades del sistema: C:\inetpub.
Aunque normalmente se asocia con Internet Information Services (IIS), la apariencia de esta carpeta es intencional incluso en sistemas sin IIS instalado.
Sirve como parte de la mejora de seguridad de Microsoft para crear previamente ciertos directorios y reforzar el proceso de actualización contra ataques de enlaces simbólicos.
Los analistas de seguridad han desarrollado reglas de detección para identificar posibles intentos de explotación, centrándose en creaciones de uniones sospechosas dirigidas a las rutas de Windows Update Stack y monitoreando operaciones de archivos inusuales que involucran el directorio Microsoft\UpdateStack.
Las organizaciones deben implementar las siguientes mitigaciones:
- Aplique las actualizaciones de seguridad de abril de 2025 de inmediato
- Restringir las ACL en C:\ProgramData\Microsoft\UpdateStack
- Evite la creación de enlaces simbólicos mediante AppLocker o Windows Defender Application Control (WDAC)
- Supervise las actividades de creación de archivos en directorios inetpub, independientemente de si IIS está instalado
La vulnerabilidad ejemplifica una tendencia creciente de actores de amenazas que explotan la confianza implícita en los sistemas de archivos en lugar de depender de técnicas complejas de corrupción de memoria.
Los expertos en seguridad advierten que estos CVE de “bajo nivel” a menudo tienen impactos enormes a pesar de sus métodos de explotación aparentemente más simples.
Esta vulnerabilidad aparece junto con otros 124 CVE solucionados en el lanzamiento del martes de parches de abril de 2025 de Microsoft, uno de los cuales (CVE-2025-29824) ya se está explotando activamente en la naturaleza.
«Este CVE no sólo revela una vulnerabilidad, sino que resalta cuán complejas y frágiles pueden ser las rutas de ejecución confiables en los entornos Windows modernos», explicaron los investigadores.
«Para los atacantes, es un shell de SISTEMA de bajo ruido. Para los defensores, es un modelo de cómo se ven los LPE basados en archivos en el mundo real».
