El paquete de seguridad de agosto de 2025 para Windows (KB5063878) y sucesivos ha provocado un aumento de mensajes de Control de Cuentas de Usuario (UAC) y fallos de instalación en entornos sin privilegios administrativos. Según Microsoft, el cambio está directamente relacionado con la corrección de la vulnerabilidad de elevación de privilegios en Windows Installer CVE-2025-50173, que permitía a un atacante autenticado obtener permisos SYSTEM.
Cambios clave en UAC y Windows Installer tras el parche
Para neutralizar la explotación de CVE-2025-50173, Microsoft ha endurecido la ejecución de operaciones de reparación MSI: UAC exige credenciales de administrador para “repair” y acciones relacionadas de Windows Installer. Esto afecta a escenarios sin interfaz (por ejemplo, msiexec /fu) y a instalaciones que invocan Windows Installer durante Active Setup para configuraciones por usuario.
Como efecto práctico, cuando un usuario estándar inicia una aplicación que dispara una reparación silenciosa, la operación falla. Se han observado mensajes como “Error 1730” durante la configuración inicial; un caso típico es el primer arranque de Office Professional Plus 2010 en contexto de usuario, que intenta “autocurarse” y queda bloqueado por UAC.
Alcance y síntomas: quiénes están afectados
El comportamiento impacta a usuarios sin derechos de administrador en todas las ediciones con soporte, tanto cliente como servidor. Entre clientes: Windows 11 24H2, 23H2, 22H2; Windows 10 22H2, 21H2, 1809; Windows 10 Enterprise LTSC 2019/2016; Windows 10 1607; Windows 10 Enterprise 2015 LTSB. En servidores: Windows Server 2025, 2022, 2019, 2016, 1809, 2012 R2, 2012.
Impacto operativo observado en entornos corporativos
ConfigMgr y publicidad por usuario. Despliegues basados en “advertising” o configuraciones por usuario dejan de funcionar si no hay elevación previa.
Interacción con Secure Desktop. Pueden aparecer complicaciones adicionales si el escritorio seguro de UAC está habilitado, incrementando la fricción para el usuario.
Aplicaciones Autodesk. Determinados productos (p. ej., AutoCAD, Civil 3D, Inventor CAM) registran errores en el arranque cuando se activa el “self-heal” y UAC bloquea la reparación.
Contexto de seguridad: por qué se ha endurecido UAC
El mecanismo de “autorreparación” de MSI (self-healing/repair) puede intervenir componentes por usuario y por máquina. En cadenas de postexplotación, actores maliciosos han intentado aprovechar estas rutas para elevar privilegios. El endurecimiento actual alinea el sistema con el principio de mínimo privilegio: las reparaciones MSI que afecten al sistema ya no progresan sin credenciales de administrador. El coste operativo es un aumento de fricción en instalaciones silenciosas y configuraciones en contexto de usuario.
Mitigaciones y buenas prácticas para equipos de TI
Microsoft trabaja en una opción de permitir, vía directiva, que aplicaciones específicas realicen reparaciones MSI sin avisos adicionales de UAC. Hasta que esa capacidad esté disponible, se recomienda ejecutar aplicaciones e instaladores MSI con privilegios de administrador cuando sea previsible una reparación.
Acciones recomendadas a corto plazo:
— Migrar instalaciones al contexto de máquina. Empaquetar con ALLUSERS=1 y desplegar mediante ConfigMgr en contexto SYSTEM (“Whether or not a user is logged on”) para evitar disparadores de reparación por usuario.
— Deshabilitar accesos directos anunciados y autocorrección. Usar DISABLEADVTSHORTCUTS=1 y evitar “advertised shortcuts” que activen self-heal.
— Minimizar Active Setup por usuario. Trasladar, cuando sea posible, inicializaciones al contexto de equipo para reducir reparaciones en primer inicio de sesión.
— Supervisión y pruebas. Validar paquetes en laboratorio, revisar eventos de MSIInstaller y coordinar con fabricantes (p. ej., Autodesk) para obtener guías actualizadas.
Este cambio de seguridad bloquea un vector real de elevación de privilegios y, aunque introduce fricción en entornos gestionados, es coherente con la reducción de superficie de ataque. Los equipos de TI deberían auditar su catálogo MSI, ajustar empaquetados a contexto de máquina, desactivar características de publicidad y preparar comunicaciones al usuario sobre nuevos avisos de UAC. Mantente atento a las políticas de excepción que Microsoft libere y prioriza pruebas controladas antes de ampliar despliegues en producción.
