CSIRT Blog

Vulnerabilidad crítica de Windows 11 CVE-2024-30085

Escrito por E-dea Networks | 14-feb-2025 0:58:09

Microsoft abordó recientemente una vulnerabilidad crítica (CVE-2024-30085) que afectaba a Windows 11 (versión 23H2). Esta falla alarmante, demostrada en el evento de ciberseguridad TyphoonPWN 2024, permite a los atacantes escalar sus privilegios de acceso al nivel SISTEMA, lo que básicamente les otorga una autoridad total sobre un dispositivo comprometido.

¿Qué es la vulnerabilidad?

CVE-2024-30085 reside en el controlador de minifiltros Cloud Files (cldflt.sys), un controlador de bajo nivel que ayuda a gestionar el funcionamiento de los sistemas de archivos basados en la nube en dispositivos Windows. La falla surge de una validación incorrecta de los datos proporcionados por el usuario durante las operaciones de archivos con puntos de análisis (una tecnología avanzada de enlaces simbólicos en NTFS).

  • Sin validación de tamaño: El controlador no verifica el tamaño de los datos, lo que permite entradas de gran tamaño.
  • Desbordamiento de montón: Esta entrada incorrecta sobrescribe un búfer de memoria, dañando la memoria adyacente.
  • Ejecución de código arbitrario: Un atacante puede introducir código malicioso en el sistema. Con privilegios de nivel SYSTEM, esto es como abrir una puerta trasera en todo el sistema operativo.

Para el usuario medio, esto significa que cualquier atacante que explote esta vulnerabilidad puede pasar de una cuenta básica de "invitado" a una cuenta de administrador con acceso total.

Descubrimiento y demostración en TyphoonPWN

El investigador de seguridad Alex Birnberg mostró este exploit durante TyphoonPWN 2024, obteniendo el tercer lugar por su demostración. TyphoonPWN es un evento destacado para hackers de sombrero blanco, cuyo objetivo es descubrir vulnerabilidades desconocidas. Birnberg demostró cómo un ataque cuidadosamente diseñado que utiliza puntos de análisis podría llevar a una escalada de privilegios del SISTEMA en máquinas con Windows 11.

Este evento fue una carrera contra el tiempo para exponer y corregir vulnerabilidades graves antes de que sean explotadas por actores maliciosos.

¿Qué son los puntos de análisis y por qué son importantes?

Los puntos de análisis son una característica crucial de los sistemas de archivos NTFS, que permiten a Windows vincular o redirigir operaciones del sistema de archivos. Son la base de funciones como:

  • Sincronización de archivos de OneDrive
  • Enlaces simbólicos o duros entre archivos y directorios
  • Mejorar flujos de trabajo de desarrolladores

Sin embargo, su complejidad también atrae exploits. Los atacantes pueden manipular estos enlaces para redirigir operaciones de archivos sensibles, eludiendo mecanismos de seguridad como la Prevención de Ejecución de Datos (DEP).

¿Quién está en riesgo?

  • Vector de ataque: Requiere que un atacante tenga la capacidad de ejecutar código localmente.
  • Sistemas vulnerables: Cualquier dispositivo con Windows 11 (versión 23H2) y el controlador cldflt.sys vulnerable está en riesgo.

Esto es especialmente peligroso en entornos corporativos, donde los atacantes podrían aumentar privilegios y causar daños importantes.

Respuesta rápida de Microsoft

Tras TyphoonPWN, Microsoft lanzó rápidamente un parche de seguridad para solucionar CVE-2024-30085. Las actualizaciones ya están disponibles a través de Windows Update.

Cambios clave del parche:

  • Corrección en el controlador de Cloud Files, mejorando la validación de datos.
  • Asegurar que los buffers tengan el tamaño adecuado, eliminando la vulnerabilidad.

Cómo protegerse

  1. Aplique el parche inmediatamente: Instale la última actualización de Windows 11 que soluciona CVE-2024-30085.
  2. Minimizar las cuentas: Limite el acceso a cuentas administrativas.
  3. Monitorizar los puntos: Audite el uso de sistemas de almacenamiento en la nube que interactúan con cldflt.sys.
  4. Implementar sistemas de detección: Use IDS/IPS como Snort o Suricata para detectar actividades sospechosas.
  5. Habilitar el registro: Utilice herramientas como el Visor de eventos de Windows para rastrear operaciones anómalas.

Implicaciones más importantes de CVE-2024-30085

Esta vulnerabilidad destaca:

  • Exploits en evolución: Los atacantes ahora apuntan a componentes de bajo nivel.
  • Importancia de las competiciones de seguridad: Eventos como TyphoonPWN son esenciales para la investigación de vulnerabilidades.
  • Concientización del usuario final: La rapidez en la instalación de parches es crucial para prevenir ataques.

Esta es una lección importante sobre la necesidad de diligencia constante en la ciberseguridad actual.


 

 
Ver post completo