Alerta de seguridad
Nivel de peligrosidad: Critico
Descripción
La vulnerabilidad reside en cómo el componente IKEEXT.dll procesa los mensajes del protocolo IKE (usado para establecer conexiones VPN IPsec). Al enviar secuencias específicas de paquetes IKE_SA_INIT o IKE_AUTH, un atacante puede corromper la memoria del heap del sistema. Dado que el servicio IKE corre con los máximos privilegios, el éxito de la explotación resulta en el control total del servidor o estación de trabajo sin que el usuario tenga que hacer nada.
Recursos afectados
Afecta a una amplia gama de sistemas operativos Windows (siempre que el servicio IKE/IPsec esté expuesto):
- Windows 10 y 11
- Windows Server 2016, 2019, 2022 y 2025.
Solución/Mitigación
- Actualización: Instalar los parches del Patch Tuesday de Abril 2026.
- Mitigación temporal: Si no puedes parchear de inmediato, bloquea el tráfico entrante en los puertos UDP 500 y 4500 en el firewall perimetral, o permite conexiones solo desde IPs conocidas (peers confiables).
Indicadores de compromiso
-
Reinicios inesperados del servicio IKEEXT o pantallazos azules (BSOD) relacionados con corrupción de memoria.
- Presencia de tráfico UDP malformado de gran volumen hacia los puertos 500/4500 desde IPs externas no identificadas como nodos VPN.
-
Creación de procesos inusuales (ej. cmd.exe, powershell.exe) bajo el contexto de NT AUTHORITY\SYSTEM.
Recomendaciones
- Este parche es prioritario debido a que no requiere autenticación para ser explotado.
-
Verificar todos los puntos de terminación VPN basados en Windows y asegurar que el parche esté aplicado.
-
En servidores que no actúen como túneles VPN o no requieran IPsec, se recomienda deshabilitar el servicio.
Referencias