Microsoft ha abordado recientemente una vulnerabilidad crítica en el componente Windows Update Stack, identificada como CVE-2025-21204. Esta falla permite a un atacante local con privilegios limitados escalar sus privilegios hasta obtener acceso de nivel SYSTEM, comprometiendo la seguridad del sistema operativo Windows.
- CVE-2025-21204 (CVSS 7.8): Esta vulnerabilidad, reside en una resolución inadecuada de enlaces simbólicos antes del acceso a archivos en el Windows Update Stack. Esto permite a un atacante local crear enlaces simbólicos o directorios de unión (junctions) que redirigen procesos privilegiados, como MoUsoCoreWorker.exe y UsoClient.exe, hacia ubicaciones controladas por el atacante. Al ejecutar estos procesos, el sistema puede ejecutar código malicioso con privilegios de SYSTEM sin requerir interacción del usuario.
Productos y versiones afectadas:
- Windows 10, Windows 11, Windows Server 2016/2019/2022 (todas las ediciones soportadas).
Solución
- Aplicar las actualizaciones de seguridad de abril de 2025.
Recomendaciones:
- Aplicar inmediatamente las actualizaciones de seguridad proporcionadas por Microsoft para abril de 2025.
- Restringir los permisos de escritura en el directorio C:\ProgramData\Microsoft\UpdateStack para usuarios no privilegiados.
- Implementar políticas de restricción de ejecución de scripts y creación de enlaces simbólicos mediante AppLocker o Windows Defender Application Control (WDAC).
- Monitorear la creación de enlaces simbólicos y actividades inusuales en directorios asociados al proceso de actualización de Windows.
Referencias: