Saludos desde 2021: hackers volvieron a explotar una antigua falla de Windows para comprobar si sigue vigente. Spoiler: sí, y de forma contundente.
CISA alerta y recomienda corregir la vulnerabilidad cuanto antes.
En los sistemas Microsoft Windows vuelve a explotarse activamente una vulnerabilidad relacionada con la elevación de privilegios. Esto lo advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), añadiendo la brecha al catálogo oficial de vulnerabilidades explotadas activamente. Se trata del fallo CVE-2021-43226, descubierto ya en 2021; sin embargo, en las últimas semanas los atacantes han empezado a utilizarlo en ataques, incluyendo la propagación de programas de rescate (ransomware).
La vulnerabilidad está presente en el controlador Common Log File System (CLFS), que se usa para procesar los registros de eventos del sistema operativo y de las aplicaciones. Con acceso local permite eludir las restricciones de seguridad y obtener un nivel de privilegios más alto, lo que puede llevar a la comprometación total del sistema. Esta vulnerabilidad resulta especialmente peligrosa cuando se combina con ejecución remota de código —por ejemplo, en un ataque a través de un servicio vulnerable o un correo de phishing— tras lo cual se avanza a la siguiente fase dentro de la red.
CLFS — un componente del sistema presente prácticamente en todas las estaciones de trabajo y servidores que ejecutan Windows. Es de interés para los atacantes cuando se usa en equipos que procesan información confidencial, gestionan aplicaciones de misión crítica o administran infraestructura en la nube. Para explotar CVE-2021-43226 no se requiere interacción del usuario, salvo la ejecución inicial del código malicioso con privilegios básicos.
Los expertos advierten que, en caso de intrusión, estas brechas permiten a los atacantes elevar rápidamente sus privilegios hasta el nivel de administrador de dominio, lo que les otorga control total sobre toda la red corporativa. Son especialmente vulnerables las organizaciones con recursos limitados y baja preparación ante incidentes: a menudo carecen de gestión centralizada de actualizaciones y de capacidad de respuesta frente a ataques.
Como medidas de protección, la CISA recomienda instalar las actualizaciones de seguridad publicadas por Microsoft y asegurarse de que las soluciones de protección de endpoints puedan reconocer intentos de explotación.
En los casos en que no sea posible aplicar la actualización de inmediato, se recomienda restringir temporalmente el acceso al controlador CLFS o aislar los sistemas más vulnerables. También es una tarea importante abandonar las versiones de Windows sin soporte, que ya no reciben correcciones y, por tanto, permanecen expuestas.
Se debe prestar atención específica al análisis de registros para detectar actividad anómala relacionada con el funcionamiento de CLFS y a la configuración de alertas cuando se identifiquen indicios de explotación de la vulnerabilidad. Se ordena a las agencias federales de EE. UU. y a los contratistas que actúen conforme a la directiva BOD 22-01, que exige la gestión obligatoria de vulnerabilidades y medidas coordinadas para su mitigación.