Investigadores de seguridad de ESET han revelado una preocupante situación: una vulnerabilidad crítica en el subsistema kernel Win32 de Windows ha sido explotada activamente durante más de un año por actores maliciosos. La vulnerabilidad, identificada como CVE-2025-24983, permite a los atacantes realizar una escalada de privilegios hasta nivel SYSTEM, otorgándoles control total sobre los sistemas afectados.
Análisis técnico de la vulnerabilidad
La brecha de seguridad se clasifica como una vulnerabilidad de tipo «use-after-free» con una puntuación CVSS de 7.0. Los atacantes pueden aprovechar una condición de carrera en el sistema para acceder a funciones privilegiadas. Microsoft ha respondido a esta amenaza incluyendo un parche correctivo en su actualización de seguridad de marzo, aunque esto ocurre después de un extenso período de explotación activa.
Sistemas afectados e impacto
Aunque inicialmente se detectó en sistemas Windows Server 2012 R2 y Windows 8.1, la investigación ha confirmado que la vulnerabilidad también afecta a versiones más recientes, incluyendo Windows Server 2016 y Windows 10 (build 1809 y anteriores). La gravedad de la situación se intensifica por el hecho de que los atacantes han estado explotando activamente esta vulnerabilidad desde marzo de 2023.
Conexión con el malware PipeMagic
Los investigadores han identificado que la explotación de esta vulnerabilidad está estrechamente vinculada con PipeMagic, un sofisticado backdoor descubierto inicialmente por Kaspersky en 2022. Este malware destaca por sus capacidades avanzadas, incluyendo el robo de datos confidenciales, acceso remoto a sistemas comprometidos y movimiento lateral dentro de redes corporativas.
Uso en campañas de ransomware
Durante 2023, se observó que el grupo de ransomware Nokoyawa incorporó PipeMagic en sus operaciones, combinándolo con otras vulnerabilidades como CVE-2023-28252 para ejecutar ataques complejos contra infraestructuras empresariales. Esta tendencia demuestra la creciente sofisticación de las amenazas actuales.
La persistencia de esta vulnerabilidad subraya la importancia crítica de mantener actualizados los sistemas de seguridad y realizar monitorizaciones regulares de la actividad en red. Se recomienda encarecidamente a todas las organizaciones implementar inmediatamente los últimos parches de seguridad de Microsoft y realizar auditorías exhaustivas para detectar posibles compromisos. La protección proactiva y la respuesta rápida ante nuevas vulnerabilidades son fundamentales para mantener la integridad de los sistemas corporativos.
