{"id":11102,"date":"2025-10-21T16:55:58","date_gmt":"2025-10-21T22:55:58","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11102"},"modified":"2025-10-21T16:55:59","modified_gmt":"2025-10-21T22:55:59","slug":"alerta-2025-91-vulnerabilidad-critica-en-windows-smb","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-91-vulnerabilidad-critica-en-windows-smb\/","title":{"rendered":"Alerta 2025-91 Vulnerabilidad cr\u00edtica en Windows SMB"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Microsoft Windows \u2014 SMB Client: <\/strong><em>versiones de cliente y servidor de Windows afectadas (Windows 10, Windows 11 y m\u00faltiples versiones de Windows Server; incluye ediciones hasta las ramas publicadas en 2024\/2025).<\/em><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha reportaro una vulnerabilidad de control de acceso en el cliente SMB de Microsoft. La vulnerabilidad permite a un atacante con capacidad de autenticarse forzar una conexi\u00f3n SMB maliciosa que derive en escalamiento de privilegios a nivel SYSTEM en la m\u00e1quina v\u00edctima. La CVE-2025-33073 ha sido calificada con <strong>CVSS alto<\/strong> de <strong>8.8.<\/strong><\/p>\n\n\n\n<p>El componente afectado es el cliente\/implementaci\u00f3n SMB usado para compartir archivos y autenticaci\u00f3n entre hosts en entornos Windows.<\/p>\n\n\n\n<p>La vulnerabilidad que permite elevaci\u00f3n de privilegios por red cuando se explota correctamente. El vector de explotaci\u00f3n descrito consiste en inducir a la v\u00edctima a autenticarse contra un servidor SMB controlado por el atacante (por ejemplo mediante t\u00e9cnicas de coerci\u00f3n de conexi\u00f3n, LLMNR\/NBT-NS poisoning, o manipulaci\u00f3n de resoluci\u00f3n), y aprovechar la falta\/incorrecta aplicaci\u00f3n de controles en el protocolo para comprometer la sesi\u00f3n y ejecutar acciones con privilegios elevados.<\/p>\n\n\n\n<p>Desde la publicaci\u00f3n del parche en junio 2025 y la documentaci\u00f3n t\u00e9cnica posterior, se han hecho an\u00e1lisis p\u00fablicos, PoC y gu\u00edas de detecci\u00f3n que describen c\u00f3mo la vulnerabilidad esquiva ciertas mitigaciones de NTLM-reflection y depende, en parte, de configuraciones como <strong>SMB signing<\/strong> no forzada o habilitada de forma d\u00e9bil en el entorno objetivo. Esto implica que entornos donde SMB signing no est\u00e9 exigido son particularmente vulnerables. Adem\u00e1s, se han publicado PoC experimentales que muestran m\u00e9todos de explotaci\u00f3n tanto en LAN como con t\u00e9cnicas de coacci\u00f3n de conexi\u00f3n a distancia.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Recomendaciones:<\/h2>\n\n\n\n<p>Configuraciones de mitigaci\u00f3n mientras se planifica la aplicaci\u00f3n del parchea:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Forzar SMB Signing (require signing) en servidores y clientes cuando sea posible. Sistemas que obliguen SMB signing reducen la superficie de explotaci\u00f3n.<\/li>\n\n\n\n<li>Restringir\/filtrar tr\u00e1fico SMB: bloquear SMB (TCP 445) a destinos externos, y limitar la exposici\u00f3n del servicio SMB s\u00f3lo a redes internas de confianza mediante firewall\/ACLs.<\/li>\n\n\n\n<li>Monitorizaci\u00f3n y detecci\u00f3n: detectar conexiones SMB inusuales, coerci\u00f3n de autenticaci\u00f3n (conexiones salientes que inician sesi\u00f3n NTLM\/SMB hacia destinos no habituales) y alertar sobre resoluciones LLMNR\/NBT-NS an\u00f3malas. Se han publicado scripts\/IoCs y PoC que ayudan a crear reglas de detecci\u00f3n.<\/li>\n\n\n\n<li>Aplicar medidas de hardening: pol\u00edticas de bloqueo de NTLM v1, migrar a Kerberos donde sea posible, y revisar registros de eventos de seguridad para rastros de autenticaciones SMB an\u00f3malas.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">&nbsp;<\/h2>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Aplicar el parche oficial de Microsoft inmediatamente: Microsoft public\u00f3 la actualizaci\u00f3n de seguridad para CVE-2025-33073; aplique los boletines y parches correspondientes en todos los endpoints y servidores.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/advisory\/CVE-2025-33073\">https:\/\/msrc.microsoft.com\/update-guide\/en-US\/advisory\/CVE-2025-33073<\/a><\/li>\n<\/ul>\n\n\n\n<p>CISA: acci\u00f3n urgente \u2014 CISA ha a\u00f1adido CVE-2025-33073 a su Known Exploited Vulnerabilities catalog, lo que eleva la prioridad de remediaci\u00f3n en organizaciones del sector p\u00fablico y requiere atenci\u00f3n inmediata seg\u00fan BOD aplicables. Priorice la remediaci\u00f3n en activos cr\u00edticos.<\/p>\n\n\n\n<p>En entornos no parcheables inmediatamente: considere retirar temporalmente la funcionalidad SMB desde accesos expuestos a zonas no seguras, aislar hosts cr\u00edticos, y realizar inventario priorizado para parcheo inmediato.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/advisory\/CVE-2025-33073\">https:\/\/msrc.microsoft.com\/update-guide\/en-US\/advisory\/CVE-2025-33073<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/10\/20\/cisa-adds-five-known-exploited-vulnerabilities-catalog\">https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/10\/20\/cisa-adds-five-known-exploited-vulnerabilities-catalog<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/www.synacktiv.com\/en\/publications\/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025\">https:\/\/www.synacktiv.com\/en\/publications\/ntlm-reflection-is-dead-long-live-ntlm-reflection-an-in-depth-analysis-of-cve-2025<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":11103,"template":"","class_list":["post-11102","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11102","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11102\/revisions"}],"predecessor-version":[{"id":11105,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11102\/revisions\/11105"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11103"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11102"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}