Reportar incidente

Vulnerabilidad de Ejecución Remota de Código (RCE) en Microsoft Windows SMB

Se ha identificado una vulnerabilidad crítica etiquetada como CVE-2025-33073 que afecta al protocolo Server Message Block (SMB) en sistemas operativos Microsoft Windows. Esta vulnerabilidad permite a un atacante no autenticado ejecutar código de forma remota con privilegios elevados en el sistema afectado, lo que podría derivar en un compromiso total del controlador de dominio (AD Taketover) si no se mitiga de inmediato.

SMB
Figura 1. Imagen referente a CVE-2025-33073

La falla reside en la forma en que el cliente y el servidor SMB gestionan ciertos paquetes de datos malformados durante el proceso de negociación de la sesión. Un atacante puede enviar una solicitud específicamente diseñada a un sistema vulnerable para desbordar el búfer de memoria y ejecutar instrucciones arbitrarias. Debido a la naturaleza del protocolo SMB, este vector de ataque es altamente «gusaneable» (puede propagarse automáticamente a través de la red).

Contexto de la amenazas

Actualmente, se han detectado intentos de explotación activa en entornos corporativos. Actores de amenazas están utilizando esta vulnerabilidad para realizar movimientos laterales dentro de redes internas, comprometiendo bases de datos de Active Directory y exfiltrando credenciales NTLM. El riesgo es extremo para sistemas expuestos directamente a internet o redes de confianza compartidas sin segmentación adecuada.

  • CVE-2025-33073: Vulnerabilidad de control de acceso en el cliente SMB de Windows que permite comprometer el Active Directory.
  • Tipo: control de acceso incorrecto con potencial de escalada de privilegios.
  • Vector: ataques de relevo de autenticación orquestados y reflexión SMB-a-LDAPS.
  • Afecta: sistemas Windows que utilizan el cliente SMB para procesos de autenticación.
  • Privilegios requeridos: atacante autorizado en la red con capacidad de orquestar ataques de relevo.
  • Privilegios requeridos: atacante autorizado en la red con capacidad de orquestar ataques de relevo.

Impacto

Esta vulnerabilidad representa un riesgo crítico de control total al permitir que un atacante logre «adueñarse» del Active Directory, facilitando una escalada de privilegios mediante el uso de permisos de nivel SYSTEM para manipular la infraestructura vital; esto deriva en un compromiso integral de la identidad, otorgando al atacante una capacidad de manipulación y control absoluto sobre todos los objetos y cuentas dentro del dominio.

Versiones afectadas y soluciones

Basado en la naturaleza del protocolo SMB y el cliente de Windows, se consideran vulnerables las siguientes implementaciones:

  • Windows 10 y Windows 11 (todas las ediciones de escritorio).
  • Windows Server 2016, 2019, 2022 y 2025.
  • Sistemas que mantengan habilitada la autenticación NTLM y no hayan implementado protecciones de canal LDAP.

Indicadores de compromiso (IoC)

  • Intentos de autenticación NTLM sospechosos dirigidos hacia interfaces LDAPS.
  • Anomalías en los registros de replicación de objetos de Active Directory desde estaciones de trabajo no administrativas.
  • Tráfico de red que muestra intentos de relevo (relay) de credenciales entre clientes SMB y controladores de dominio.

Recomendaciones

Acciones inmediatas:

  • Aplicar los parches de seguridad emitidos por Microsoft para mitigar la falla en el cliente SMB.
  • Deshabilitar la autenticación NTLM en favor de Kerberos donde sea técnicamente posible.
  • Implementar el firmado de SMB (SMB Signing) en toda la infraestructura de red.

Acciones preventivas:

  • Activar la protección de canal (Channel Binding) y el firmado de LDAP para prevenir ataques de reflexión hacia LDAPS.
  • Aplicar políticas de restricción de NTLM para limitar el envío de credenciales a servidores potencialmente maliciosos.
  • Segmentar la red para que las estaciones de trabajo no tengan visibilidad directa innecesaria hacia puertos críticos de controladores de dominio.

Referencias:

[1] Cyber Security News — “Windows SMB Client Vulnerability Enables Attacker to Own Active Directory”. Disponible en: https://cybersecuritynews.com/cve-2025-33073-windows-smb-client-vulnerability/

[2] Microsoft Threat Intelligence Blog — “Malware delivery through collaboration tools”. Disponible en: https://www.microsoft.com/security/blog/

[3] MITRE ATT&CK — T1557 (Adversary-in-the-Middle) y T1548 (Abuse Elevation Control Mechanism). Disponible en: https://attack.mitre.org/
Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

WEBINARS DE METARED
WEBINARS DE CSIRT-CEDIA

HispaSEC

Packet storm security

Síguenos
Twitter
Suscríbete

Recibe nuestro boletín para mantenerte actualizado