Error minúsculo, consecuencias gigantes: vulnerabilidad en WinFsp permite a estafadores hacerse con el control del equipo.

Error minúsculo, consecuencias gigantes: vulnerabilidad en WinFsp permite a estafadores hacerse con el control del equipo.

Una biblioteca aparentemente inofensiva desactiva con astucia la protección integrada del sistema operativo.

image

Componentes integrados de forma silenciosa en programas para gestionar archivos pueden abrir la puerta al control total del equipo. Esto es lo que ocurrió con la plataforma WinFsp, que se utiliza para conectar en Windows discos virtuales, almacenes de red y sistemas de archivos no estándar. La vulnerabilidad descubierta permite a un atacante local elevar privilegios hasta el nivel SYSTEM.

El error CVE-2026-3006 (7.0 en la escala CVSS 3.1) afecta a WinFsp 2.1.25156 y versiones anteriores. El problema se debe a una condición de carrera, cuando varias operaciones sobre un mismo recurso se ejecutan de forma concurrente y en un orden impredecible. Un atacante puede elegir el momento adecuado y provocar un desbordamiento de la memoria del controlador que se ejecuta en el kernel de Windows. El control de la zona de memoria dañada permite ejecutar código con los máximos privilegios del sistema.

La vulnerabilidad no puede explotarse de forma remota sin acceso previo al dispositivo. El atacante deberá ejecutar un programa malicioso, iniciar sesión con una cuenta comprometida o acceder al sistema por otro medio. Tras la elevación de privilegios, el atacante podrá modificar archivos protegidos, instalar servicios y controladores, desactivar medidas de seguridad, leer datos locales y crear cuentas.

El riesgo no se limita a los usuarios que instalaron WinFsp por separado. La versión vulnerable puede incluirse en aplicaciones de terceros para virtualización de sistemas de archivos, conexión de almacenamientos y desarrollo. Los administradores deben comprobar las versiones del controlador y de las aplicaciones que usan WinFsp.

Los desarrolladores corrigieron el error en WinFsp 2.2B1. La Agencia de Ciberseguridad de Singapur recomienda instalar la versión actual, limitar los privilegios administrativos locales y supervisar cambios inesperados en controladores, servicios y procesos relacionados con WinFsp. La vulnerabilidad fue descubierta por el especialista Tai Kiat Lung.