Vulnerabilidades Críticas en Terminal Server de Windows: Un Análisis Detallado

By /

Los servicios de Escritorio Remoto de Windows (anteriormente conocidos como "Terminal Services" y ahora "Servicios de Escritorio Remoto" o RDS) son componentes fundamentales para la administración y acceso a sistemas de forma remota. Sin embargo, su complejidad y la exposición a la red los hacen susceptibles a vulnerabilidades de seguridad que pueden tener un impacto significativo. Un actor malicioso puede aprovechar estas debilidades para obtener acceso no autorizado, ejecutar código arbitrario o incluso provocar una denegación de servicio.

Esquema de la arquitectura de Escritorio Remoto de Windows y sus componentes

Protocolo de Escritorio Remoto (RDP) y Puerto 3389

El Protocolo de Escritorio Remoto (RDP) es un protocolo propietario desarrollado por Microsoft que permite a los usuarios conectarse a otro equipo a través de una red mediante una interfaz gráfica. RDP es un protocolo de capa de aplicación que proporciona una interfaz gráfica para el usuario y opera sobre el puerto TCP 3389. Este puerto se utiliza comúnmente para la administración remota de sistemas Windows.

Vulnerabilidades Críticas de Ejecución Remota de Código (RCE)

CVE-2019-0708: "BlueKeep"

Esta vulnerabilidad, calificada como "extremadamente crítica", permitiría la ejecución remota de código en el servicio RDS (antiguamente conocido como "Terminal Services") sin autenticación previa y sin interacción por parte de un usuario. Un atacante podría enviar solicitudes especialmente diseñadas que provocarían la ejecución de comandos como usuario privilegiado, pudiendo instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas de usuario. Los equipos cuyo sistema operativo aún esté en tiempo de soporte instalarán el parche automáticamente desde Windows Update.

CVE-2025-32710

Se ha identificado una vulnerabilidad de seguridad alta en los servicios de Escritorio Remoto de Windows, asignada como CVE-2025-32710 y con una puntuación de 8.1 en CVSS v3.1. Esta vulnerabilidad podría permitir a actores maliciosos no autorizados ejecutar código arbitrario de forma remota sin autenticación. Microsoft ha publicado una revisión para abordar esta deficiencia.

Vulnerabilidad de Desbordamiento de Búfer en Windows NT 4.0 Terminal Server (MS00-087)

El Boletín de seguridad de Microsoft MS00-087 anunció la disponibilidad de una revisión que eliminaba una vulnerabilidad en Terminal Server de Microsoft® Windows NT 4.0. Se trata de una vulnerabilidad de desbordamiento del búfer.

Naturaleza de la Vulnerabilidad

Hay un búfer no activado en la sección del código de Windows NT 4.0 Terminal Server que controla el nombre de usuario cuando el usuario inicia sesión en el servidor. Un búfer no activado en el símbolo del sistema de inicio de sesión de Terminal Server podría permitir que un usuario malintencionado provoque que Terminal Server ejecute código arbitrario. Una saturación del búfer se produce cuando un usuario malintencionado aprovecha un búfer no activado en un programa y sobrescribe el código del programa con sus propios datos. Si el código del programa se sobrescribe con el nuevo código ejecutable, el efecto es cambiar la operación del programa según lo dicta el atacante.

Impacto Potencial y Explotación

La capacidad de ejecutar código arbitrario permitiría al usuario malintencionado agregar, cambiar o eliminar datos, ejecutar código ya en el servidor o cargar código nuevo en el servidor y ejecutarlo. Esta vulnerabilidad se podría aprovechar de forma remota si no se filtran las solicitudes de conexión. De forma predeterminada, Terminal Server escucha en el puerto tcp 3389. El código del usuario malintencionado podría realizar cualquier acción en el servidor que podría realizar un administrador que haya iniciado sesión.

En caso de un error al ejecutar correctamente el desbordamiento del búfer, un usuario malintencionado con acceso local a Terminal Server podría aprovechar esta vulnerabilidad para provocar un error en Terminal Server. Si el usuario malintencionado sobrepone el búfer con datos aleatorios, el efecto dependerá de cómo accediera al servidor. Si aprovecha la vulnerabilidad a través de una sesión remota, el efecto sería desconectar la sesión, por lo que no pudo causar ningún daño al sistema. Si aprovecha la vulnerabilidad a través de un inicio de sesión local, provocaría un error en el servidor.

Es importante destacar que esta vulnerabilidad afecta solo a los servidores de terminal NT 4.0. No hay ninguna vulnerabilidad correspondiente en la estación de trabajo de Windows NT o en ediciones que no son de Terminal Server de Windows NT 4.0 Server.

¿Sabes qué es un Buffer?

Vulnerabilidad de Escalada de Privilegios Local (LPE)

CVE-2026-21533

Se ha identificado una vulnerabilidad crítica de Escalada de Privilegios Local (Local Privilege Escalation), asignada como CVE-2026-21533, la cual afecta a múltiples versiones soportadas de Microsoft Windows. Esta vulnerabilidad permite que un atacante con acceso local previo con privilegios bajos, como un usuario estándar, eleve sus permisos a nivel de SYSTEM o Administrador sin requerir interacción del usuario. Microsoft ha publicado una actualización de seguridad en el Patch Tuesday de febrero de 2026 que corrige la vulnerabilidad CVE-2026-21533 en los sistemas Windows afectados.

Vulnerabilidad de Denegación de Servicio (DoS) en Windows 2000 Terminal Server

La implementación del Protocolo de datos remotos (RDP) en Terminal Service de Windows 2000 no controla correctamente una serie determinada de paquetes de datos. Se trata de una vulnerabilidad de denegación de servicio. Si un servidor afectado recibiera una serie de paquetes de este tipo, provocaría un error en el servidor. Al enviar una secuencia determinada de paquetes al puerto asociado a RDP en un servidor afectado, un atacante podría provocar un error en el servidor.

El impacto directo de esta vulnerabilidad es que las sesiones terminales se desconectarían, con la pérdida de datos no guardados. El servidor podría volver al servicio normal reiniciando, pero se perdería cualquier trabajo en curso en el momento del ataque. No hay ninguna capacidad para infringir la seguridad de una sesión de terminal Server a través de esta vulnerabilidad, o para agregar, cambiar o eliminar datos en el servidor.

Las versiones localizadas de esta revisión están en desarrollo. El artículo de Microsoft Knowledge Base Q286132 describe este problema y estará disponible aproximadamente 24 horas después del lanzamiento de este boletín. Los servidores de Windows 2000 que no son servidores terminales no se ven afectados.

Sistemas Operativos Afectados

Las vulnerabilidades descritas afectan a una amplia gama de sistemas operativos y servicios de Terminal Server, incluyendo:

  • Windows Server 2008 (sistemas de 32 bits y basados en x64 con Service Pack 2)
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
  • Windows Server 2025 (última versión)
  • Microsoft® Windows NT 4.0 Terminal Server
  • Windows 2000 Terminal Service
  • Múltiples versiones soportadas de Microsoft Windows (para CVE-2026-21533)
  • Equipos cuyo sistema operativo aún esté en tiempo de soporte (para CVE-2019-0708)

Medidas de Mitigación y Recomendaciones

Ante la presencia de estas vulnerabilidades, se recomiendan las siguientes acciones:

  • Aplicar Parches y Actualizaciones: Microsoft recomienda que los clientes evalúen el riesgo que esta vulnerabilidad supone para su informática segura y determinen si se debe aplicar la revisión. Microsoft ha publicado una revisión que elimina una vulnerabilidad de seguridad en Microsoft® Windows NT 4.0 Terminal Server. Para CVE-2019-0708, los equipos con SO en tiempo de soporte recibirán el parche automáticamente. Para CVE-2026-21533, Microsoft publicó una actualización de seguridad en el Patch Tuesday de febrero de 2026.
  • Implementar Firewalls y Filtrado de Tráfico: Es crucial implementar un firewall y filtrar el tráfico innecesario, especialmente las solicitudes de conexión dirigidas al puerto 3389, para evitar la explotación remota.
  • Desactivar Servicios Innecesarios: Desde los servicios Informáticos de la UCM, por ejemplo, recomiendan la desactivación de los servicios de Terminal Server si no son estrictamente necesarios para la operación.

El artículo de Knowledge Base proporciona un manifiesto de los archivos del paquete de revisión. Las revisiones son totalmente compatibles.

Descargo de Responsabilidad de Microsoft

La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. El soporte técnico está disponible en los Servicios de soporte técnico de Microsoft.

tags: #vulnerabilidad #terminal #server

Publicaciones populares:

  • detalles sobre la subida de las pensiones de viudedad en España
  • Vulnerabilidades de los detectores de humo iónicos
  • Solicitud y Pago de Incapacidades y Licencias en CruzBlanca
  • Ayudas Gubernamentales para Niños Sordos: Un Análisis Completo
  • Medidas para Adultos Mayores de Caja Los Héroes