Vulnerabilidad en actualización de seguridad de Windows permite bloquear futuras actualizaciones
Un reciente parche de seguridad de Microsoft, destinado a fortalecer la configuración predeterminada de Windows, ha introducido involuntariamente una nueva vulnerabilidad. La actualización crea una carpeta llamada inetpub, pero su implementación defectuosa podría ser explotada por atacantes para evitar que los sistemas afectados reciban futuras actualizaciones de seguridad.
Detalles técnicos de la vulnerabilidad
El problema surge de cómo Windows maneja los permisos de la carpeta inetpub, que se crea automáticamente durante la instalación del parche KB5035849. Esta carpeta, diseñada para alojar contenido web en servidores IIS, está configurada con permisos demasiado permisivos:
- Permisos de escritura asignados al grupo
Users - Falta de herencia de permisos restringida
- Ausencia de listas de control de acceso (ACLs) adecuadas
Esta configuración permite que cualquier usuario estándar (sin privilegios administrativos) modifique o elimine la carpeta, lo que puede interrumpir el proceso de actualización de Windows Update.
Mecanismo de explotación
Los atacantes podrían aprovechar esta debilidad mediante varios vectores:
- Denegación de servicio: Eliminar o renombrar la carpeta inetpub para interrumpir futuras actualizaciones
- Elevación de privilegios: Manipular los permisos para obtener mayor control sobre el sistema
- Persistencia: Crear archivos maliciosos que persistan tras reinicios del sistema
Impacto y sistemas afectados
La vulnerabilidad afecta principalmente a:
- Windows 10 versión 22H2
- Windows 11 versiones 21H2, 22H2 y 23H2
- Servidores Windows con IIS instalado
El riesgo es particularmente alto en entornos empresariales donde los usuarios tienen acceso local a los sistemas pero privilegios limitados.
Medidas de mitigación
Microsoft aún no ha emitido un parche oficial para esta vulnerabilidad, pero los administradores pueden implementar las siguientes contramedidas:
- Restringir manualmente los permisos de la carpeta inetpub
- Implementar políticas de grupo para controlar el acceso al directorio
- Monitorizar cambios no autorizados en la estructura de carpetas del sistema
- Considerar la desinstalación temporal del parche KB5035849 en entornos críticos
Implicaciones para la seguridad corporativa
Esta situación subraya varios desafíos importantes en la gestión de parches:
- Los parches de seguridad pueden introducir nuevas vulnerabilidades
- La necesidad de pruebas exhaustivas antes del despliegue masivo
- La importancia de monitorear los sistemas después de aplicar actualizaciones
Las organizaciones deben equilibrar la urgencia de aplicar parches de seguridad con la necesidad de evaluar posibles efectos secundarios en sus entornos específicos.
Conclusión
Este caso demuestra cómo incluso las medidas de seguridad bien intencionadas pueden tener consecuencias no deseadas cuando no se implementan correctamente. Los equipos de TI deben mantenerse vigilantes ante este tipo de vulnerabilidades “autoinfligidas” y estar preparados para responder rápidamente cuando surjan problemas posteriores a la aplicación de parches.
