Freym PC Blog

Elevación de privilegios local en el Windows Cloud Files Mini Filter Driver (kernel)

Admin
December 22, 2025
Elevación de privilegios local en el Windows Cloud Files Mini Filter Driver (kernel)
Translate to:

Qué es CVE‑2025‑62221

  • Es una vulnerabilidad de elevación de privilegios local en el Windows Cloud Files Mini Filter Driver (componente del kernel que gestiona la integración de archivos en la nube, como OneDrive y otros servicios).
  • Tipo de bug: use‑after‑free (CWE‑416) en el driver, que permite corrupción de memoria en modo kernel y escalada a privilegios SYSTEM.
  • CVSS alrededor de 7.8; Microsoft la clasifica como “Important”, pero muchos analistas la consideran el fallo más urgente del Patch Tuesday de diciembre porque ya se explota activamente.

Alcance y sistemas afectados

Según NVD/CIRCL y análisis de terceros:[^10]

  • Productos afectados (antes del parche de diciembre):
    • Windows 10 (varias ramas, incl. 1809 y 22H2).
    • Windows 11 (23H2 y builds de Server equivalentes).
    • Windows Server 2019, 2022 y 2025 (incluyendo Server Core).
  • Importante: el minifiltro Cloud Files está presente aunque no tengas OneDrive/Google Drive/iCloud instalados, así que la mayoría de sistemas Windows modernos se ven afectados si no están parcheados.

Detalles técnicos y explotación

  • El fallo se produce cuando el driver libera un objeto que sigue siendo accesible y luego ese puntero “ya liberado” vuelve a usarse (“use‑after‑free”), lo que permite al atacante provocar corrupción de memoria controlada en el kernel.
  • Requisitos de ataque:
    • El atacante necesita ejecución de código local con privilegios bajos (usuario estándar / código ya plantado), pero no se requiere interacción del usuario una vez que tiene ese foothold.
  • Impacto práctico:
    • Escalada a SYSTEM → posibilidad de desactivar AV/EDR, borrar logs, volcar credenciales con herramientas tipo Mimikatz, instalar rootkits, moverse lateralmente, etc.
  • Estado de explotación:
    • Microsoft y varios vendors confirman explotación in‑the‑wild como zero‑day antes del Patch Tuesday de diciembre.
    • Se ha observado uso en campañas dirigidas contra gobiernos, sectores críticos y entornos corporativos como parte de cadenas de ataque más largas (post‑explotación).

Mitigación y prioridades

  • Parchear:
    • Aplicar las actualizaciones de seguridad de diciembre de 2025 en todos los hosts Windows afectados; es la recomendación nº1 de prácticamente todos los boletines.
  • Priorizar:
    • Servidores de AD, servidores críticos, escritorios con mayor exposición (usuarios con más phishing, admins, equipos con mucho software de terceros).
  • Si aún no puedes parchear todo:
    • Reducir el riesgo de primer foothold endureciendo correo/navegación, controlando ejecución (AppLocker/WDAC) y limitando usuarios con login interactivo.
    • Reforzar monitorización para detectar patrones típicos de post‑explotación (PowerShell sospechoso, Mimikatz, LSASS access, creación de nuevos servicios, etc.).

En resumen: CVE‑2025‑62221 es una EoP local en el driver Cloud Files (use‑after‑free) ya explotada activamente, que convierte cualquier foothold en control total del sistema. Parchar todos los Windows con el lote de diciembre debería estar literalmente en el top de tu backlog de hardening.

Comments (0)

No comments yet. Be the first to comment!