Freym PC Blog

Elevación de privilegios local (EoP) en el Kernel de Windows

Admin
November 16, 2025
Elevación de privilegios local (EoP) en el Kernel de Windows
Translate to:
Informe CVE-2025-62215

Resumen rápido

  • Severidad: Important (CVSS v3.1 base ≈ 7.0–7.8 según las fuentes)
  • Estado: Zero-day activamente explotado en la wild hasta el Patch Tuesday de noviembre 2025
  • CWE: CWE-362 (Race Condition) + CWE-415 (Double Free)
  • Impacto: Un atacante local ya autenticado (aunque sea con cuenta de bajo privilegio) puede escalar hasta privilegios SYSTEM ganando una condición de carrera en el kernel.

Descripción técnica oficial (NVD / Microsoft)

La descripción oficial tanto en NVD como en el advisory de Microsoft es:

“Concurrent execution using shared resource with improper synchronization (‘race condition’) in Windows Kernel”

que permite a un atacante autenticado elevar privilegios localmente.

En términos más técnicos, la vulnerabilidad combina:

  • Una condición de carrera (CWE-362) por falta de sincronización adecuada al acceder a un recurso compartido en el kernel.
  • Un double-free (CWE-415) que se puede desencadenar cuando el atacante gana la race condition, provocando corrupción de memoria en el kernel y, finalmente, ejecución de código con privilegios SYSTEM.

No se ha publicado aún un análisis público profundo (ni PoC ni write-up de root-cause) porque la vulnerabilidad se parcheó hace apenas 4–5 días (11–12 de noviembre de 2025) y Microsoft no suele revelar los detalles internos del kernel hasta que pasan unas semanas o meses.

Vector de ataque típico (lo que se deduce de los análisis públicos)

  1. El atacante necesita ejecución local (por ejemplo, mediante phishing, malware ya dentro del equipo, cuenta comprometida, etc.).
  2. Ejecuta código que provoca múltiples hilos o procesos que acceden concurrentemente al recurso afectado del kernel.
  3. Gana la race condition → se produce el double-free → corrupción controlada de estructuras del kernel.
  4. Con esa corrupción se consigue un primitive de escritura arbitraria o similar → escalado a SYSTEM (token stealing, arbitrary kernel write, etc.).

Complejidad de explotación: “High” según Microsoft (requiere ganar la carrera de forma fiable), pero al estar ya explotada en la wild significa que existe al menos un exploit estable en manos de atacantes.

Productos afectados

Todas las versiones de Windows todavía con soporte en noviembre 2025:

  • Windows 11 24H2, 23H2, 22H2…
  • Windows 10 22H2, 21H2 (incluidas las que están en ESU)
  • Windows Server 2022, 2019, etc.

El parche está incluido en las actualizaciones cumulativas del Patch Tuesday de noviembre 2025 (KB5068861, KB5068781, KB5068791, etc., según la versión).

Estado de explotación

  • Microsoft marcó “Exploitation Detected”
  • CISA la añadió al catálogo Known Exploited Vulnerabilities el 12 de noviembre de 2025 con fecha límite de parcheo el 3 de diciembre de 2025.

Recomendación

Aplica ya las actualizaciones de noviembre 2025. Si por algún motivo no puedes parchear inmediatamente, las mitigaciones son muy limitadas (basicamente endurecer cuentas no administrativas y restringir ejecución local), porque es un bug del kernel.

Si en los próximos días/semanas sale algún write-up técnico más detallado (normalmente lo publican investigadores de Google Project Zero, ZDI o similares cuando Microsoft da el visto bueno), te lo puedo actualizar sin problema.

Comments (0)

No comments yet. Be the first to comment!