La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una
alerta urgente
el 20 de octubre de 2025, sobre una grave vulnerabilidad
CVE-2025-33073
en el cliente SMB de Windows de Microsoft.

Esta falla, catalogada como un problema de control de acceso indebido, representa un grave riesgo de escalamiento de privilegios para atacantes a nivel global. Los detalles completos aún no han sido publicados.

A pesar de que Microsoft clasifica la CVE-2025-33073 como una elevación de privilegios, en realidad se trata de una ejecución remota de comandos autenticados como SYSTEM en cualquier dispositivo que no implemente la firma SMB.

La vulnerabilidad se aprovecha del protocolo SMB, esencial para el intercambio de archivos y las comunicaciones en redes Windows. Según el catálogo KEV de CISA, los atacantes pueden desarrollar un script que engañe a la víctima para que conecte su equipo al sistema del atacante mediante SMB.

La CVE-2025-33073 ya cuenta con
varias
PoC disponibles
(junto con un laboratorio) y se está utilizando activamente.

Esta autenticación forzada permite el acceso no autorizado, lo que podría resultar en un control completo sobre el dispositivo afectado. Relacionada con CWE-284 (Control de Acceso Inadecuado), esta vulnerabilidad resalta las inquietudes históricas respecto a los mecanismos de autenticación de SMB, los cuales han sido un blanco frecuente para los ciberdelincuentes, especialmente desde el brote de WannaCry en 2017.

Vulnerabilidad de SMB en Windows actualmente en explotación

Los atacantes aprovechan esta vulnerabilidad mediante tácticas de ingeniería social o descargas maliciosas, haciendo que los usuarios ejecuten inadvertidamente el código malicioso. Una vez activada, el cliente SMB se autentica con el servidor del atacante, eludiendo las medidas de seguridad convencionales y permitiendo la propagación lateral en las redes. La empresa Synacktiv ha publicado un análisis técnico sobre la explotación de esta vulnerabilidad.

Aunque CISA indica que no está claro si esta falla en particular está impulsando campañas de ransomware, la técnica refleja las estrategias utilizadas por grupos como LockBit y Conti, los cuales solían explotar los protocolos de Windows para obtener acceso inicial.

Esta alerta se emite en un momento difícil para los administradores de TI, tras una ola de exploits relacionados con SMB en 2025, incluyendo aquellos dirigidos a entornos de Azure vulnerables.

Los expertos advierten que los sistemas sin medidas de mitigación podrían enfrentar exfiltración de datos o la introducción de malware, especialmente en sectores como el financiero y el de la salud.

Medidas de mitigación

CISA insta a aplicar urgentemente los parches más recientes de Microsoft, tal como se detalla en sus avisos de seguridad, o seguir la
Directiva Operacional Vinculante (BOD) 22-01
para servicios en la nube.

Si no se pueden aplicar las mitigaciones, se recomienda suspender el uso de los productos afectados. Herramientas como Windows Defender y sistemas de detección de anomalías de terceros pueden ayudar a monitorear el tráfico en PYMES.

Deshabilitar funcionalidades innecesarias de SMBv1 y aplicar políticas de accesos con privilegios mínimos son prácticas recomendadas.

Cabe resaltar que CVE-2025-33073 es un claro ejemplo de por qué implementar defensas en profundidad, como la firma SMB, es extremadamente efectivo, incluso contra ataques de día cero.

Fuente:
CyberSecurityNews


Con Información de blog.segu-info.com.ar