Microsoft ha corregido en su “martes de parches” de enero dos vulnerabilidades críticas en el controlador ntfs.sys, componente encargado de gestionar la NTFS (New Technology File System) en prácticamente todas las versiones modernas de Windows. Ambos fallos, descubiertos por un investigador de Positive Technologies, permiten la escalada de privilegios hasta SYSTEM, otorgando control total del sistema operativo tras un acceso inicial exitoso.
Vulnerabilidades en ntfs.sys: impacto en Windows y alcance
Los parches de seguridad se han publicado para 37 ediciones de Windows, entre ellas Windows 10, Windows 11 y las plataformas servidor Windows Server 2019, 2022 y la futura Windows Server 2025. El amplio espectro de versiones afectadas subraya la criticidad del problema: NTFS es la arquitectura de almacenamiento predeterminada en la mayoría de estaciones de trabajo y servidores Windows, y ntfs.sys se ejecuta en modo kernel con los privilegios más elevados.
Ambas vulnerabilidades han recibido una puntuación CVSS de 7,8, catalogada como de alta gravedad. Aunque se trata de fallos de tipo local (requieren acceso previo a la máquina), este tipo de vulnerabilidades de escalada de privilegios son un elemento habitual en cadenas de ataque avanzadas, especialmente en entornos corporativos y en operaciones de grupos APT, como demuestran informes anuales de firmas como Mandiant, Microsoft y ENISA.
Detalles técnicos de CVE-2026-20840 y CVE-2026-20922
CVE-2026-20840: desbordamiento de búfer en el heap al procesar VHD
La primera vulnerabilidad, CVE-2026-20840, corresponde a un heap-based buffer overflow o desbordamiento de búfer en memoria dinámica. El fallo se origina en la gestión insegura de discos duros virtuales (VHD) por parte de ntfs.sys. Al analizar un VHD especialmente manipulado, el controlador puede escribir datos más allá de los límites de un búfer asignado en el heap.
Para explotar esta condición, el atacante debe contar ya con algún tipo de acceso al sistema, por ejemplo a través de malware previamente instalado o de una cuenta comprometida. A partir de ahí, bastaría con proporcionar un archivo VHD malicioso y forzar su procesamiento por el sistema para conseguir la escritura de datos arbitrarios en memoria del kernel. Este escenario permite elevar privilegios a SYSTEM y ejecutar código con control total sobre el sistema operativo.
CVE-2026-20922: validación insuficiente de tablas de particiones
La segunda vulnerabilidad, CVE-2026-20922, también evaluada con 7,8 en la escala CVSS, está relacionada con una validación inadecuada de estructuras de datos internas dentro del controlador ntfs.sys. El problema radica en la falta de comprobaciones robustas sobre la coherencia de las tablas de particiones, lo que permite que un atacante diseñe una partición especialmente preparada para provocar un comportamiento anómalo del controlador.
Al explotar con éxito esta falla, el atacante vuelve a obtener escalada de privilegios a SYSTEM, con capacidad para instalar malware sigiloso, acceder a cualquier información almacenada en disco y desactivar o evadir mecanismos de seguridad a nivel de sistema operativo y soluciones de seguridad endpoint.
Cómo pueden explotar los atacantes estas fallas de NTFS
Ambas vulnerabilidades en NTFS requieren acceso local, por lo que rara vez constituyen el punto de entrada inicial. Su papel habitual es el de segundo o tercer eslabón en ataques en cadena: el atacante primero obtiene acceso básico mediante phishing, explotación de vulnerabilidades en aplicaciones, credenciales robadas o fuerza bruta, y posteriormente aprovecha errores en el kernel para consolidar su presencia y ampliar privilegios.
En entornos empresariales, hacerse con privilegios SYSTEM en una sola máquina permite:
- Desactivar o eludir soluciones de seguridad integradas en el sistema operativo y algunos antivirus.
- Robar credenciales de otros usuarios y administradores, favoreciendo el compromiso de más cuentas.
- Utilizar el equipo comprometido como base para lateral movement, es decir, moverse lateralmente por la red corporativa.
- Ocultar la presencia de malware y dificultar el análisis forense y la respuesta a incidentes.
Los informes recientes de violaciones de datos, como el Verizon Data Breach Investigations Report (DBIR), muestran que las vulnerabilidades locales de escalada de privilegios en Windows siguen siendo un componente clave de las intrusiones más sofisticadas, especialmente cuando los atacantes buscan persistencia a largo plazo y acceso amplio a datos sensibles.
Recomendaciones de ciberseguridad y mitigación del riesgo
La medida prioritaria para organizaciones y usuarios finales consiste en instalar sin demora las actualizaciones de seguridad de enero de Microsoft en todas las versiones afectadas de Windows 10, Windows 11 y Windows Server. En el caso de empresas, es esencial integrar estos parches en el proceso de patch management, verificar su despliegue efectivo en todos los endpoints y documentar el estado de cumplimiento.
Cuando no sea posible aplicar las actualizaciones de inmediato, se recomienda implementar controles adicionales de reducción de superficie de ataque:
- Limitar el uso y montaje de VHD y otros discos virtuales, en especial aquellos procedentes de fuentes externas o no verificadas.
- Restringir a los usuarios la capacidad de montar imágenes de disco o modificar la configuración de almacenamiento sin supervisión.
- Incrementar el monitorizado de actividades anómalas relacionadas con creación, montaje y modificación de volúmenes y particiones.
- Realizar escaneos periódicos de malware y revisar alertas que involucren intentos de escalada de privilegios o acceso sospechoso a controladores del sistema.
Estas vulnerabilidades en un componente tan fundamental como el controlador de la NTFS de Windows reafirman la importancia de una gestión rigurosa de parches, una estrategia de mínimo privilegio y la formación continua de los empleados. Reducir las oportunidades de acceso inicial, mantener los sistemas actualizados y supervisar activamente la actividad en los endpoints disminuye de forma significativa la probabilidad de que fallos en el kernel, como CVE-2026-20840 y CVE-2026-20922, sean aprovechados con éxito en ataques reales.
