“Nueva vulnerabilidad de día cero en Windows permite a atacantes remotos robar credenciales NTLM”
Publicado enZero Day

“Nueva vulnerabilidad de día cero en Windows permite a atacantes remotos robar credenciales NTLM”

No hay comentarios

Nueva Vulnerabilidad Zero-Day en Windows Permite Robo de Credenciales NTLM

Un nuevo zero-day afecta a todas las versiones de Windows, desde Windows 7 y Server 2008 R2 hasta las más recientes, incluyendo Windows 11 v24H2 y Server 2025. Este fallo crítico permite a los atacantes capturar credenciales de autenticación NTLM simplemente cuando un usuario visualiza un archivo malicioso en el Explorador de Windows.

Mecanismo de Explotación

La vulnerabilidad puede ser explotada mediante múltiples vectores:

  • Apertura de una carpeta compartida que contenga el archivo malicioso.
  • Inserción de un dispositivo USB con el archivo comprometido.
  • Visualización de la carpeta de Descargas donde se haya guardado previamente el archivo desde un sitio web controlado por el atacante.

Este comportamiento recuerda al fallo anterior CVE-2025-21377, aunque la causa técnica subyacente es diferente y no había sido documentada previamente.

Impacto y Riesgos

Aunque no está clasificada como crítica, esta vulnerabilidad representa un riesgo significativo en entornos donde:

  • Los atacantes ya tienen acceso inicial a la red.
  • Existen servidores accesibles públicamente (como Exchange) que podrían usarse para retransmitir credenciales robadas.

Investigaciones de inteligencia de seguridad confirman que este tipo de vulnerabilidades ya están siendo explotadas activamente en ataques reales.

Microparchados Disponibles

El equipo de investigación ha reportado el fallo a Microsoft siguiendo prácticas de divulgación responsable. Mientras se espera un parche oficial, han desarrollado microparchados disponibles a través de 0patch que mitigan temporalmente el problema. Estos parches temporales:

  • Son gratuitos hasta que Microsoft publique una solución permanente.
  • No requieren reinicio del sistema.
  • Se distribuyen automáticamente a sistemas con el agente 0patch instalado.

Esta es la cuarta vulnerabilidad zero-day descubierta recientemente por el mismo equipo de investigación, que incluye:

  • CVE-2025-21308 (archivos de tema de Windows)
  • Problema con “Mark of the Web” en Server 2012 (sin parchear)
  • CVE-2025-21377 (divulgación de hashes NTLM a través de archivos URL)

Sistemas Afectados y Protección Temporal

Los microparchados cubren una amplia gama de versiones de Windows:

  • Versiones antiguas: Windows 7 (con/sin ESU), Server 2008 R2/2012/2012 R2
  • Versiones actuales: Windows 10/11 (todas las versiones soportadas), Server 2016-2025

Para implementar la protección temporal, los usuarios deben:

  1. Crear una cuenta gratuita en 0patch Central.
  2. Iniciar el período de prueba disponible.
  3. Instalar y registrar el agente 0patch.

Esta vulnerabilidad subraya la importancia de mantener sistemas actualizados y aplicar medidas de protección adicionales, especialmente en entornos empresariales donde el robo de credenciales puede tener consecuencias graves.

Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta