Fallo crítico en SMB de Windows que ya están explotando (y tú aún podrías tener abierto)
ATENCIÓN COMUNIDAD CYBER
CISA ha emitido una alerta urgente: la vulnerabilidad CVE-2025-33073, que afecta al protocolo SMB (Server Message Block) de Microsoft Windows, está siendo explotada activamente por atacantes.
🧩 ¿Qué ha ocurrido?
Esta vulnerabilidad permite a un atacante escalar privilegios hasta SYSTEM en máquinas Windows vulnerables.
El ataque se produce cuando un equipo objetivo se conecta a un servidor SMB malicioso, lo que desencadena la ejecución del exploit.
Microsoft publicó el parche en junio de 2025, pero muchos sistemas aún no lo han aplicado. Por eso, CISA la añadió recientemente a su catálogo de vulnerabilidades explotadas (KEV), confirmando que hay explotación activa en la naturaleza.
⚠️ ¿Por qué es tan peligrosa?
• Afecta a Windows 10, Windows 11 y Windows Server, en versiones ampliamente utilizadas.
• Permite movimiento lateral, implantación de malware y compromiso total del sistema.
• Muchos entornos empresariales siguen expuestos porque el servicio SMB está habilitado por defecto.
• Su puntuación de severidad (CVSS 8.8) la clasifica como ALTA, y el impacto operativo puede ser crítico.
🛡️ ¿Qué deberías hacer ya mismo?
1. Audita tus sistemas Windows: identifica todos los equipos que usen SMB y verifica si tienen aplicado el parche de junio 2025.
2. Aplica el parche inmediatamente: prioriza servidores, estaciones críticas y entornos con acceso remoto.
3. Deshabilita SMB cuando no sea necesario: especialmente en entornos expuestos o con servicios públicos.
4. Monitorea logs y tráfico SMB: busca conexiones inusuales, intentos de autenticación fallidos o accesos desde IP desconocidas.
5. Coordina con tu equipo de seguridad para implementar detecciones y reglas específicas en EDR/SIEM.
El caso de CVE-2025-33073 es otro recordatorio de lo que pasa cuando la gestión de parches no es inmediata: una vulnerabilidad conocida puede pasar de “crítica” a “explotada” en cuestión de días.
El SMB sigue siendo la puerta trasera preferida de muchos y lo peor es que sigue abierta en medio mundo. Normalmente si vemos que el puerto 445 expuesto y sin parchear, no hace falta Metasploit: basta un buen relay attack y a volar SYSTEM. Buen curro trayendo esto a la gente, que muchos siguen dormidos.