Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en la implementación de Web Distributed Authoring and Versioning (WebDAV) de Windows, presente en múltiples versiones del sistema operativo, incluidas versiones obsoletas como Windows Server 2012 y Windows 8. La falla permite a atacantes no autenticados ejecutar código arbitrario a través de archivos de acceso directo de Internet (Internet Shortcut Files) manipulados. La explotación requiere que la víctima haga clic en un enlace malicioso hacia un servidor WebDAV controlado por el atacante. Se ha confirmado explotación activa atribuida al grupo APT Stealth Falcon.
Recursos afectados
- Sistemas operativos vulnerables:
- Windows 10, Windows 11, Windows Server 2016, 2019, 2022.
- Windows Server 2012 y Windows 8 (sin soporte oficial).
- Protocolos/servicios afectados: WebDAV (extensión de HTTP).
- Vectores asociados: Archivos de acceso directo de Internet (.url) y enlaces externos a servidores WebDAV maliciosos.
Solución/Mitigación
- Acciones inmediatas:
- Aplicar las actualizaciones de seguridad de Microsoft publicadas el 10 de junio de 2025.
- Bloquear conexiones salientes a servidores WebDAV no autorizados en firewall.
- Acciones a mediano plazo:
- Deshabilitar WebDAV si no es requerido.
- Implementar segmentación de red para limitar impacto de posibles compromisos.
- Revisar políticas de manejo de archivos adjuntos y filtrado de correo electrónico.
Indicadores de compromiso
- Dominios/IPs maliciosos conocidos: (sin información pública específica al momento).
- Artefactos sospechosos:
- Archivos
.urlo.lnkrecibidos por correo con rutas WebDAV externas.
- Archivos
Recomendaciones
- Mantener el sistema operativo y aplicaciones actualizadas.
- Aplicar de inmediato los parches de seguridad correspondientes.
- Evitar abrir enlaces o accesos directos desde fuentes no confiables.
Referencias