Una vulnerabilidad de seguridad crítica en el cliente de escritorio remoto de Microsoft podría permitir a los atacantes ejecutar código arbitrario en los sistemas de víctimas.
La vulnerabilidad, designada como CVE-2025-48817, afecta a múltiples versiones de Windows y plantea riesgos de seguridad significativos para las organizaciones que dependen de las conexiones de protocolo de escritorio remoto (RDP).
Control de llave
1. CVE-2025-48817 habilita la ejecución del código remoto a través de Microsoft Remote Desktop Client (CVSS 8.8).
2. Los servidores RDP maliciosos ejecutan código en la conexión de clientes a través de una vulnerabilidad transversal de ruta.
3. Afecta todas las versiones de Windows desde Server 2008 a Windows 11 24h2.
4. Microsoft lanzado soluciones el 8 de julio de 2025 – Aplique actualizaciones de seguridad de inmediato.
Flaw RCE de cliente de escritorio remoto
CVE-2025-48817 representa una vulnerabilidad de transversal de ruta relativa combinada con mecanismos de control de acceso inadecuados dentro de la infraestructura de cliente de escritorio remoto de Microsoft.
A la vulnerabilidad se le ha asignado una puntuación CVSS de 8.8 para métricas base y 7.7 para métricas temporales, clasificándolo como severidad “importante”.
La clasificación técnica identifica dos categorías de debilidad primaria: CWE-23 (traversal de ruta relativa) y CWE-284 (control de acceso inadecuado).
El CVSS Vector String CVSS: 3.1/AV: N/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H/E: U/RL: O/RC: C Indica que este es un vector de ataque basado en la red con requisitos de baja complejidad.
De manera crucial, la vulnerabilidad no requiere privilegios para la explotación, pero sí requiere la interacción del usuario. Tras la explotación exitosa, los atacantes pueden lograr un alto impacto en los dominios de confidencialidad, integridad y disponibilidad.
El mecanismo de explotación se basa en un escenario de ataque de hombre en el medio donde los actores maliciosos controlan un servidor de escritorio remoto.
Cuando las víctimas se conectan al servidor comprometido utilizando un software de cliente de escritorio remoto vulnerable, la falla de transferencia de ruta relativa habilita la ejecución del código remoto (RCE) en la máquina del cliente.
Este vector de ataque es particularmente preocupante porque invierte el modelo de seguridad de cliente cliente típico, donde los clientes generalmente confían en los servidores.
La vulnerabilidad requiere un usuario administrativo en el sistema de clientes para iniciar una conexión con el servidor malicioso.
Una vez que se establece la conexión, la debilidad transversal de la ruta permite a los atacantes escapar de las restricciones previstas de directorio y ejecutar código arbitrario con privilegios elevados.
Factores de riesgo DetailsAppiced Products- Windows Server 2008/2008 R2/2012/2012 R2- Windows Server 2016/2022/2022/2025- Windows 10 (todas las versiones de 1607 a 22H2)- Windows 11 (22H2, 23H2, 24H2)- Cliente de escritorio remoto para Windows Desktop- Windows App APP para Windows Windows Code Ejecution Ejecution (RCEQUISECTUIT). Sistema del cliente: Interacción del usuario requerida: conexión al servidor RDP malicioso: acceso a la red: no se requieren privilegios en el servidor SIDECVSS 3.1 Score8.8 (importante)
Sistemas afectados y actualizaciones de seguridad
Microsoft ha lanzado actualizaciones de seguridad integrales que se dirigen a CVE-2025-48817 en todo su ecosistema de Windows.
Las plataformas afectadas abarcan desde sistemas heredados, incluidos Windows Server 2008 y Windows 7, hasta versiones actuales como Windows 11 24h2 y Windows Server 2022.
Los números de compilación específicos para versiones parcheadas incluyen 10.0.26100.4652 para Windows 11 24h2 y 10.0.22631.5624 para Windows 11 23h2.
El cliente de escritorio remoto para el escritorio de Windows se ha actualizado a la versión 1.2.6353.0, mientras que el cliente de la aplicación de Windows alcanza la versión 2.0.559.0.
Las organizaciones deben priorizar la aplicación de actualizaciones de seguridad KB5062553 y KB5062552, así como parches relacionados correspondientes a sus versiones específicas de Windows.
Microsoft tiene confirmado que la vulnerabilidad no se está explotando actualmente en la naturaleza, y no se ha producido una divulgación pública, proporcionando a las organizaciones una ventana crítica para la remediación antes de posibles intentos de explotación generalizados.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
.webp?w=1600&resize=1600,900&ssl=1){kind=link}