Microsoft vuelve a estar contra las cuerdas: los hackers explotan una vulnerabilidad que ya parecía corregida

Cuando un gigante tecnológico publica un parche y etiqueta una vulnerabilidad como «difícil de explotar», la comunidad de administradores de sistemas tiende a respirar aliviada y, en ocasiones, a relajar la prioridad de la actualización. Sin embargo, la realidad acaba de golpear con fuerza a los entornos de Windows para empresas.

Lo que el pasado mes de octubre parecía un problema técnico menor y que ya estaba resuelto, ha vuelto esta semana, estallando como un problema de seguridad activa importante. Tanto es así que el Gobierno de Estados Unidos se ha visto obligado a emitir una orden de emergencia.

La protagonista de esta crisis es Microsoft Configuration Manager (anteriormente conocido como SCCM). Este software es el que permite a los departamentos de TI de las empresas administrar, actualizar y controlar grandes flotas de servidores y estaciones de trabajo. Ahora, se ha confirmado que una vulnerabilidad crítica en este sistema, identificada como CVE-2024-43468 , está siendo explotada activamente, a pesar de que ya parecía solucionada.

Error poco probable en Windows

Para entender la gravedad del asunto, hay que remontarse a octubre de 2024. Microsoft lanzó una actualización de seguridad para corregir este fallo, una vulnerabilidad de inyección SQL descubierta por la empresa de seguridad Synacktiv. Este error permite a un hacker, sin necesidad de autenticación, es decir, sin tener usuario ni contraseña, ejecutar código arbitrario y comandos en el servidor con los privilegios más altos posibles.

Por tanto, si un experto en este tipo de ataques explota el fallo, podrá adueñarse de ese servidor y, por extensión, puede comprometer toda la red de ordenadores que ese servidor administra.

Sin embargo, en aquel momento, hace ya casi año y medio. Microsoft etiquetó la vulnerabilidad con la calificación de «explotación poco probable». Según explicaron sus ingenieros, un atacante tendría «dificultades para crear el código necesario», requiriendo una experiencia técnica muy avanzada o una sincronización sofisticada para lograr su objetivo. Esta etiqueta suele hacer que muchos equipos de TI pospongan la actualización frente a otras más urgentes. El tiempo ha demostrado que esa evaluación fue, desgraciadamente, demasiado optimista.

La situación cambió radicalmente a finales de noviembre, cuando los investigadores de Synacktiv compartieron públicamente una prueba de concepto (PoC) demostrando cómo explotar el fallo.