Nueva amenaza para servidores en HTTP/2: Microsoft advierte sobre "MadeYouReset"

Nueva vulnerabilidad del protocolo HTTP/2 llamada MadeYouReset (CVE-2025-8671) fue revelada el 13 de agosto de 2025. Se basa en que un atacante puede enviar tramas especialmente formadas del protocolo, obligando al servidor a restablecer repetidamente flujos en el marco de una sola conexión. Esta carga puede conducir a un consumo significativo de recursos y, en los peores casos, provocar una denegación de servicio (DoS). En esencia, el nuevo método recuerda al ataque Rapid Reset (CVE-2023-44487), que también aprovechaba la posibilidad de restablecimientos masivos de flujos, agotando los recursos del sistema.

Microsoft declaró que el servicio Azure Front Door ya está protegido contra MadeYouReset. Los ingenieros de la compañía, ya en 2023, cuando tuvieron que enfrentarse a Rapid Reset, desarrollaron mecanismos avanzados de filtrado para este tipo de ataques. A diferencia de las restricciones parciales que afectaban solo a restablecimientos iniciados por el cliente, se implementó un modelo de protección más estricto. Este tiene en cuenta cualquier variante de cancelación de flujos, independientemente de la causa, y así cubre distintas variaciones de exploits basados en el mecanismo de reset.

Para los clientes de Azure esto significa que no se requieren acciones adicionales. Las medidas de protección actúan automáticamente, y el funcionamiento de los servicios se mantiene resistente incluso ante intentos de emplear el nuevo tipo de ataques en HTTP/2. La compañía subraya que las medidas adoptadas garantizan la estabilidad de la infraestructura y mantienen un alto nivel de seguridad frente a las amenazas en evolución de los protocolos.