Underc0de - La Casa de los Informáticos

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos, conocida como CISA, ha emitido una advertencia urgente dirigida a agencias gubernamentales para proteger sus sistemas frente a una vulnerabilidad crítica de escalada de privilegios en sistemas Windows. Este fallo, identificado como CVE-2025-60710, podría permitir a atacantes obtener privilegios de nivel SYSTEM, comprometiendo completamente los dispositivos afectados.

¿Qué es Windows Task Host y por qué es crítico?

El componente afectado, conocido como Windows Task Host (Taskhost.exe), es una pieza fundamental del sistema operativo Windows. Su función principal es actuar como un contenedor para procesos basados en bibliotecas DLL, permitiendo que se ejecuten correctamente en segundo plano.

Además, este componente garantiza que las tareas se cierren de forma segura durante el apagado del sistema, evitando la corrupción de datos. Debido a su rol crítico en la gestión de procesos, cualquier vulnerabilidad en este módulo representa un riesgo significativo para la seguridad del sistema operativo.

Detalles técnicos de la vulnerabilidad CVE-2025-60710

La vulnerabilidad CVE-2025-60710 se origina a partir de una debilidad en el manejo de enlaces simbólicos, específicamente un problema de "seguimiento de enlaces" (link following). Según Microsoft, el fallo se debe a una resolución incorrecta de enlaces antes de acceder a archivos, lo que permite a atacantes explotar esta condición para elevar privilegios.

Este tipo de vulnerabilidad es particularmente peligroso porque:

• Puede ser explotado por atacantes con acceso local básico.
• Requiere baja complejidad técnica.
• Permite escalar privilegios hasta nivel SYSTEM.
• Otorga control total del dispositivo comprometido.

Los sistemas afectados incluyen:

• Windows 11
• Windows Server 2025

Aunque el fallo fue corregido por Microsoft en noviembre de 2025, su inclusión en el catálogo de vulnerabilidades activamente explotadas indica que los atacantes ya están aprovechando esta debilidad en entornos reales.

CISA incluye la vulnerabilidad en su catálogo KEV

El pasado lunes, CISA añadió CVE-2025-60710 a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), lo que implica un nivel de urgencia elevado. Como resultado, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen un plazo de dos semanas para aplicar los parches necesarios, conforme a la Directiva Operativa Vinculante BOD 22-01.

Aunque esta directiva aplica específicamente a entidades federales estadounidenses, la recomendación se extiende a organizaciones privadas y equipos de ciberseguridad a nivel global.

CISA enfatiza que este tipo de vulnerabilidad es un vector común en ataques avanzados, utilizado frecuentemente por actores maliciosos para obtener acceso persistente dentro de redes comprometidas.

Riesgos reales para empresas y organizaciones

El impacto de CVE-2025-60710 no debe subestimarse. La posibilidad de que un atacante obtenga privilegios SYSTEM implica:

• Acceso completo al sistema operativo.
• Instalación de malware persistente.
• Manipulación de datos críticos.
• Movimiento lateral dentro de la red corporativa.
• Desactivación de soluciones de seguridad.

Este escenario es especialmente preocupante en infraestructuras empresariales donde múltiples usuarios tienen acceso a sistemas compartidos, aumentando la superficie de ataque.

Recomendaciones clave de mitigación

Para reducir el riesgo de explotación, tanto CISA como Microsoft recomiendan:

Aplicar parches de seguridad inmediatamente

Asegurar que todos los sistemas estén actualizados con los últimos parches publicados por Microsoft.

Auditoría de privilegios de usuario

Limitar el acceso local y aplicar el principio de mínimo privilegio.

Monitoreo de actividad sospechosa

Implementar herramientas de detección y respuesta (EDR/XDR).

Segmentación de red

Minimizar el movimiento lateral en caso de compromiso.

Revisión de configuraciones de seguridad

Especialmente en entornos críticos o servidores.

Evaluar suspensión de servicios vulnerables

En caso de no poder aplicar mitigaciones inmediatas.

Contexto: aumento de vulnerabilidades críticas en 2026

Esta alerta se produce en un contexto de creciente actividad en el panorama de amenazas. A principios de abril de 2026, Microsoft publicó su tradicional Patch Tuesday, abordando un total de 167 vulnerabilidades, incluidas dos fallas zero-day activamente explotadas.

Asimismo, CISA ha estado intensificando sus advertencias recientes, incluyendo una vulnerabilidad crítica en Ivanti Endpoint Manager Mobile (EPMM), explotada desde enero, lo que evidencia una tendencia clara: los atacantes están priorizando vulnerabilidades con alto impacto y baja complejidad de explotación.

Actuar rápido es clave

La inclusión de CVE-2025-60710 en el catálogo KEV es una señal clara de riesgo activo. Las organizaciones que no apliquen parches oportunamente se exponen a ataques que podrían comprometer completamente sus infraestructuras.

En un entorno donde las amenazas evolucionan rápidamente, la gestión proactiva de vulnerabilidades no es opcional, sino una necesidad crítica para garantizar la continuidad operativa y la seguridad de los datos.

Fuente: https://www.bleepingcomputer.com/