Dependencias gubernamentales de infraestructura crítica y otras en riesgo por vulnerabilidades de Microsoft

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Microsoft lanzó el 11 de marzo de 2025 más de 50 actualizaciones de seguridad para sus sistemas operativos Windows, incluidas soluciones para cinco vulnerabilidades de día cero que ya están siendo explotadas activamente.

Entre estas vulnerabilidades, dos de ellas, CVE-2025–24991 y CVE-2025–24993, afectan a NTFS, el sistema de archivos predeterminado en Windows y Windows Server. Para que un atacante las explote, debe inducir a la víctima a montar un disco duro virtual malicioso. La vulnerabilidad CVE-2025–24993 podría permitir la ejecución de código local, mientras que CVE-2025–24991 podría exponer fragmentos de la memoria del sistema.

Otra vulnerabilidad de día cero, CVE-2025–24984, también afecta a NTFS y puede ser explotada insertando una unidad USB maliciosa en un dispositivo Windows. Si un atacante tiene éxito, podría provocar que partes de la memoria heap se vuelquen indebidamente en un archivo de registro, el cual podría ser revisado posteriormente por el atacante en busca de información confidencial.

Además, CVE-2025–24985, otro error de día cero corregido este mes, podría permitir a los atacantes instalar código malicioso. Al igual que con las vulnerabilidades de NTFS, este problema requiere que el usuario monte un disco duro virtual malicioso.

Finalmente, CVE-2025–26633, una vulnerabilidad en Microsoft Management Console, un componente de Windows que permite a los administradores de sistemas gestionar y supervisar el sistema, también ha sido corregida. Para explotarla, el objetivo debe abrir un archivo malicioso, lo cual no es improbable dado que estos ataques suelen ir acompañados de sofisticadas campañas de phishing.

Es crucial señalar que la unidad de investigación de SILIKN ha identificado algunas dependencias gubernamentales que podrían verse afectadas por estas vulnerabilidades si no aplican de inmediato los parches de seguridad. Entre las dependencias vulnerables se encuentran algunas de infraestructura crítica, como la Comisión Nacional del Agua y la Comisión Nacional de Seguridad Nuclear y Salvaguardias.

Recordemos que las instituciones de infraestructura crítica gubernamentales son aquellas entidades clave que gestionan los sistemas y servicios fundamentales para el funcionamiento de un país, cuya interrupción o destrucción podría tener un impacto grave en la seguridad, economía, salud pública o bienestar general. Estas incluyen sectores como la energía, las telecomunicaciones, el agua, el transporte, la defensa, la salud y la seguridad pública, entre otros, y están protegidas por políticas y regulaciones especiales debido a su importancia estratégica para la estabilidad y continuidad del gobierno y la sociedad.

Otras dependencias en riesgo son:

- Productora Nacional de Biológicos Veterinarios
- Comité Nacional para el Desarrollo Sustentable de la Caña de Azúcar
- Procuraduría Federal de la Defensa del Trabajo
- Fondo Nacional para el Fomento de las Artesanías
- Instituto Nacional de Investigaciones Forestales, Agrícolas y Pecuarias
- Comisión Nacional de los Salarios Mínimos

Se recomienda a las dependencias aplicar los parches de seguridad de inmediato. La lista completa de actualizaciones está disponible en el siguiente enlace de SANS, organización que ha recopilado esta información: https://isc.sans.edu/diary/Microsoft%20Patch%20Tuesday%3A%20March%202025/31756

Para mayor información, visite: https://www.silikn.com/