CVE-2025-55234: Vulnerabilidad crítica en Windows SMB
Admin
September 17, 2025
Translate to:
Gravedad: Alta (CVSS 8.8)
Tipo: Elevación de privilegios por relay de autenticación (SMB relay attack, EoP)
Fecha detección: Septiembre 2025
Estado: Zero-day públicamente conocido antes del parche. Parche disponible, campañas de explotación potencial.
Productos afectados: Windows Server Message Block (SMB) Server, todas las versiones no protegidas con SMB Signing/EPA[web:122][web:132][web:133][web:137][web:134][web:141].
Tipo: Elevación de privilegios por relay de autenticación (SMB relay attack, EoP)
Fecha detección: Septiembre 2025
Estado: Zero-day públicamente conocido antes del parche. Parche disponible, campañas de explotación potencial.
Productos afectados: Windows Server Message Block (SMB) Server, todas las versiones no protegidas con SMB Signing/EPA[web:122][web:132][web:133][web:137][web:134][web:141].
Descripción técnica
- La vulnerabilidad reside en el protocolo Windows SMB y permite realizar relay attacks para elevar privilegios en sistemas afectados.
- No requiere privilegios previos ni alta complejidad: un atacante en la red puede interceptar y reenviar solicitudes de autenticación NTLM si no se emplean medidas de endurecimiento (
SMB signing,Extended Protection for Authentication). - Esto permite obtener acceso como el usuario víctima, comprometiendo servidores y facilitando movimiento lateral, robo de credenciales y exfiltración de datos[web:133][web:137][web:134].
- La vulnerabilidad fue divulgada antes del parche y existe código de exploit público; puede formar parte de campañas combinadas (phishing, relay, lateral movement)[web:133][web:134].
Impacto
- Compromiso total del servidor SMB y redes Windows asociadas.
- Elevación de privilegios de usuario por conexión NTLM relayed (acceso total, SYSTEM).
- Facilita movimiento lateral, robo de credenciales y persistencia en entornos empresariales.
- Exposición de información sensible sustancial (ficheros, usuarios, datos).
Detección y mitigación
- Aplicar inmediatamente las actualizaciones de septiembre 2025.
- Habilitar SMB Server Signing y Extended Protection for Authentication (EPA).
- Usar nuevas capacidades de auditoría para localizar clientes y servicios incompatibles antes de forzar las configuraciones de endurecimiento.
- Monitorizar logs del servidor y herramientas de seguridad para detectar conexiones relayed y accesos anómalos.
- Segmentar la red y restringir acceso SMB desde fuentes no confiables.
- Limitar privilegios y revisar controles en Active Directory y servidores de archivos.
Resumen técnico
| Aspecto | Detalle |
|---|---|
| CVE | CVE-2025-55234 |
| Categoría | Relay de autenticación/Elevación de privilegios |
| Exploitabilidad | Remota - sin privilegios previos, baja complejidad; código público disponible |
| Vector | Tráfico SMB/NTLM en red sin hardening |
| Parche disponible | Sí, actualización de septiembre 2025 |
| Mitigación | Actualizar, habilitar SMB signing/EPA, usar auditoría, segmentar y monitorizar red |
Recomendación urgente:
Parchea todos los servidores Windows SMB y habilita SMB Signing y EPA.
Utiliza las auditorías incluidas en la actualización para identificar y corregir incompatibilidades.
Segmenta la red y restringe el acceso desde sistemas no confiables para minimizar el riesgo de relay y escalada de privilegios.
Parchea todos los servidores Windows SMB y habilita SMB Signing y EPA.
Utiliza las auditorías incluidas en la actualización para identificar y corregir incompatibilidades.
Segmenta la red y restringe el acceso desde sistemas no confiables para minimizar el riesgo de relay y escalada de privilegios.
Comments (0)
No comments yet. Be the first to comment!