Una sola vulnerabilidad en SMB puede dar el control de todo el dominio: actualicen Windows de inmediato.
Incorporan la falla en la lista de vulnerabilidades explotadas activamente; ya se usa para comprometer Windows 10, 11 y servidores.
La agencia estadounidense de ciberseguridad CISA incluyó una vulnerabilidad en el componente Windows SMB en el catálogo de vulnerabilidades explotadas conocidas (KEV). Una falla en el mecanismo de control de acceso, registrada como CVE-2025-33073, permite a los atacantes obtener privilegios del nivel SYSTEM a través de la red. Según expertos, la explotación ya se observa en ataques reales y existen exploits listos disponibles públicamente. El problema afecta a todas las versiones de Windows que no hayan instalado la actualización de seguridad publicada por Microsoft en junio de 2025.
El protocolo SMB es uno de los elementos básicos de la interconexión en red de Windows, proporcionando intercambio de archivos, acceso a carpetas e impresoras, así como el funcionamiento de repositorios corporativos y sistemas de sincronización de datos. A través de él los equipos intercambian información dentro de redes locales y dominios. La alteración de este protocolo puede provocar una infección masiva de la infraestructura y el acceso no autorizado a recursos confidenciales.
La gravedad de la vulnerabilidad se valora en 8,8 sobre 10 según la escala CVSS. Microsoft advierte que, en caso de un ataque exitoso, el atacante obtiene el control total del sistema, incluida la posibilidad de instalar aplicaciones, modificar parámetros de configuración y robar datos personales. La compañía precisa que la compromisión es posible si el usuario se conecta a un servidor SMB malicioso especialmente preparado, que al establecer la conexión ejecuta código arbitrario en nombre del sistema operativo.
Según especialistas, la explotación de la vulnerabilidad no requiere alta cualificación. Para obtener los privilegios máximos basta que el equipo objetivo establezca una conexión inversa con el servidor atacante por SMB y complete el proceso de autenticación. Si la firma SMB no está activada a nivel de la política de seguridad, el compromiso se produce prácticamente sin resistencia. Según la evaluación de la empresa Synacktiv, la vulnerabilidad permite que un usuario autenticado ejecute comandos con privilegios SYSTEM en cualquier dispositivo donde la firma SMB no esté activada.
Conclusiones similares realizaron en RedTeam, confirmando la presencia del defecto en Windows 10, 11 y en las ediciones de servidor publicadas entre 2019 y 2025. Los exploits ya se han publicado en GitHub, lo que facilita considerablemente la realización de ataques y aumenta el riesgo de propagación masiva. Los ciberdelincuentes emplean este error para movimiento lateral por la red de dominio, obteniendo control sobre otros nodos y cuentas administrativas.
La CISA ordenó a todas las agencias federales instalar de inmediato las actualizaciones de seguridad, estableciendo como fecha límite el 10 de noviembre de 2025. La agencia advierte que la explotación de CVE-2025-33073 representa una amenaza seria para la infraestructura y puede conducir al control total de los sistemas si no se aplica el parche. Los expertos recomiendan a los administradores comprobar que la firma SMB esté habilitada en todos los servidores, limitar el acceso al puerto del servicio a nivel de red y actualizar puntualmente todos los nodos del dominio para evitar la ejecución remota de código y la escalada de privilegios.
Las huellas digitales son tu debilidad, y los hackers lo saben