Tres vulnerabilidades críticas en la familia de productos Sophos Intercept X para Windows podrían permitir a los atacantes locales lograr la ejecución de código arbitraria con privilegios a nivel de sistema.
Identificado como CVE-2024-13972, CVE-2025-7433 y CVE-2025-7472, las configuraciones incorrectas del permiso del registro de fallas, una debilidad en el componente de cifrado del dispositivo y un problema en el instalador de Windows que se ejecuta bajo la cuenta del sistema.
Control de llave
1. Tres CVE de alta severidad permiten la escalada de privilegios locales en Sophos Intercept X para ventanas.
2. Afecta el actualizador, el cifrado del dispositivo y los componentes del instalador.
3. Actualice a las últimas versiones parchadas: no hay soluciones disponibles.
Los tres defectos tienen una calificación de alta gravedad y afectan las versiones de Intercept X para Windows antes de los últimos parches lanzados el 17 de julio de 2025.
Las organizaciones que implementan Sophos Intercept X Endpoint o Intercept X para el servidor deben aplicar actualizaciones de inmediato o arriesgarse a la elevación no autorizada de privilegios y un posible compromiso completo del sistema.
Vulnerabilidades de ejecución de escalada y ejecución de código de privilegios
CVE-2024-13972 surge de las ACL de registro excesivamente permisivas utilizadas por Intercept X para Windows Updater, lo que permite a un usuario no privilegiado modificar claves de registro críticas durante una actualización y, por lo tanto, inyectar un código que se ejecuta con privilegios del sistema.
Esta vulnerabilidad de escalada de privilegios locales (LPE) fue reportada de manera responsable por Filip Dragovic de MDSEC.
En el segundo número, CVE-2025-7433, el componente de cifrado del dispositivo expone una elevación de la falla de privilegios que permite a un usuario local autenticado cargar y ejecutar el código arbitrario, evitando las salvaguardas de cifrado previstas.
Este defecto fue presentado a través de Watchtower por el investigador Sina Kheirkhah. Por último, CVE-2025-7472 se dirige al instalador para Intercept X para Windows.
Cuando el instalador se ejecuta bajo el contexto del sistema, común en las implementaciones empresariales, un actor local puede explotar los permisos de archivo inadecuados para reemplazar o manipular archivos del instalador y obtener la ejecución del código a nivel del sistema.
Sandro Poppi informó este error a través del programa Bug Bounty de Sophos.
CVETITLEIMPACTCVSS 3.1 ScoreSeverityCVE-2024-13972 Recuerdos Vulnerabilidad en Intercept x Recalación de privilegios de UpdaterLocal Escalada vulnerabilidad privilegio escalado no disponible
La vulnerabilidad de ACL de registro CVE-2024-13972 impacta todas las intercepciones x para las instalaciones de Windows antes de la versión 2024.3.2, así como soporte de término fijo (FTS) 2024.3.2.23.2 y soporte a largo plazo (LTS) 2025.0.1.1.1.2 se transmiten.
CVE-2025-7433 se aplica al módulo de cifrado del dispositivo central en Intercept X para las versiones de Windows antes de 2025.1. Los clientes que ejecutan compilaciones FTS o LTS también requieren las construcciones correspondientes de 2024.3.2.23.2 o 2025.0.1.1.2 para recibir la solución.
El instalador CVE-2025-7472 afecta a cualquier implementación utilizando un instalador anterior a la versión 1.22 lanzada el 6 de marzo de 2025.
Las organizaciones que dependen de las políticas de actualización predeterminadas que instalan automáticamente los paquetes recomendados recibirán parches sin acción adicional. Por el contrario, aquellos en canales de mantenimiento a largo plazo o a largo plazo deben realizar actualizaciones manuales.
Mitigaciones
Sophos tiene liberado Paquetes actualizados que abordan las tres vulnerabilidades. Intercept X para Windows 2024.3.2 y las versiones de rama FTS/LTS coincidentes incluyen la solución del registro CVE-2024-13972.
El cifrado de dispositivos 2025.1 y sus contrapartes FTS/LTS resuelven CVE-2025-7433, mientras que el instalador versión 1.22, publicada el 6 de marzo de 2025, remediate CVE-2025-7472.
No hay soluciones intermedias disponibles, por lo que los clientes deben descargar instaladores directamente de Sophos Central para eliminar copias obsoletas.
Las empresas deben verificar que las políticas de actualización automática estén habilitadas para los paquetes recomendados y que cualquier rama de mantenimiento personalizada se haya actualizado a las versiones fijas.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
