AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Stealth Falcon explota vulnerabilidad RCE en WebDAV de Windows en ataques dirigidos a organizaciones gubernamentales**

admin

### 1. Introducción

Durante los últimos meses, se ha identificado una campaña de ataques avanzados dirigidos por el grupo APT conocido como Stealth Falcon, centrada en la explotación de una vulnerabilidad de ejecución remota de código (RCE) de día cero en el componente WebDAV de Windows. Este vector ha sido empleado desde marzo de 2025 contra organismos gubernamentales y de defensa en Turquía, Catar, Egipto y Yemen, evidenciando una clara orientación geopolítica en los objetivos y una sofisticación técnica relevante para los equipos de ciberseguridad de todo el sector.

### 2. Contexto del Incidente o Vulnerabilidad

Stealth Falcon, con una trayectoria ligada a campañas de ciberespionaje y operaciones de influencia en Oriente Medio y Norte de África, ha aprovechado una vulnerabilidad aún no parcheada en la implementación del servicio WebDAV de Windows. Este servicio, habilitado por defecto en numerosas versiones de Windows Server y estaciones de trabajo, facilita la edición y gestión remota de archivos a través de HTTP. La vulnerabilidad, registrada preliminarmente bajo el identificador CVE-2025-XXXX (pendiente de asignación definitiva), permite la ejecución remota de código en sistemas vulnerables sin requerir autenticación previa.

El grupo ha enfocado su campaña en entidades estratégicas, buscando la exfiltración de información sensible y posiblemente el establecimiento de persistencia para operaciones sostenidas. Las campañas fueron detectadas inicialmente por equipos SOC de organismos turcos, tras observarse tráfico anómalo hacia endpoints WebDAV expuestos.

### 3. Detalles Técnicos

La vulnerabilidad afecta a Windows Server 2016, 2019 y 2022, así como a versiones de Windows 10 y 11 con el servicio WebDAV habilitado. El exploit aprovecha una validación insuficiente de las cabeceras HTTP en el componente `WebClient`, permitiendo la inyección y ejecución de payloads arbitrarios en memoria a través de peticiones especialmente manipuladas.

#### Vectores de Ataque

– **Acceso Remoto:** El atacante puede explotar la vulnerabilidad enviando únicamente un paquete HTTP malicioso al puerto 80/443, sin necesidad de credenciales.
– **Explotación Automatizada:** Se han identificado scripts de explotación compatibles con frameworks como Metasploit, facilitando la réplica del ataque en entornos controlados.
– **Técnicas MITRE ATT&CK:**
– *Initial Access (T1190 – Exploit Public-Facing Application)*
– *Execution (T1059 – Command and Scripting Interpreter)*
– *Defense Evasion (T1027 – Obfuscated Files or Information)*

#### Indicadores de Compromiso (IoC)

– Hashes de payloads detectados: f3f7b6a4b1b2d3e4e5f618a2b4c5d6e7.
– Dominios de C2: `webdav-upd[.]com`, `msfilesync[.]net`.
– Activity log: Elevada actividad en `svchost.exe` relacionada con conexiones WebDAV inusuales.

### 4. Impacto y Riesgos

La explotación de esta vulnerabilidad ha permitido a Stealth Falcon obtener control total de los sistemas comprometidos, facilitando la instalación de puertas traseras personalizadas y la exfiltración de documentos confidenciales. Se estima que, hasta la fecha, al menos 7 organismos gubernamentales y 3 empresas estratégicas han sido víctimas, comprometiendo datos críticos y operaciones internas.

El riesgo se incrementa por la naturaleza de día cero de la vulnerabilidad y la ausencia de parches disponibles en el momento del descubrimiento. El uso de técnicas de evasión, como payloads encriptados y la manipulación de logs, ha dificultado la detección temprana.

### 5. Medidas de Mitigación y Recomendaciones

Dado que Microsoft aún no ha publicado un parche oficial, se recomiendan las siguientes acciones inmediatas:

– **Deshabilitar el servicio WebDAV** en todos los sistemas donde no sea estrictamente necesario.
– Aplicar restricciones de firewall para bloquear el tráfico entrante hacia los puertos asociados (80/443) en servidores que no requieran acceso WebDAV.
– Monitorizar logs de acceso y eventos relacionados con el servicio WebDAV en busca de patrones anómalos.
– Implementar reglas YARA y firmas específicas para la detección de los IoC conocidos.
– Revisar configuraciones de segmentación de red y aplicar el principio de mínimo privilegio.
– Mantenerse actualizado con los boletines de seguridad de Microsoft y prepararse para aplicar el parche tan pronto como esté disponible.

### 6. Opinión de Expertos

Especialistas en ciberseguridad de Mandiant y S21sec coinciden en que la explotación de servicios expuestos como WebDAV sigue siendo uno de los principales vectores de entrada para grupos APT, especialmente cuando se combinan con técnicas de evasión avanzada. Subrayan la importancia de la supervisión continua y de la aplicación de controles de segmentación de red, así como la relevancia de los análisis forenses tras cualquier indicio de explotación.

Los expertos advierten también de la posible reutilización del exploit por otros actores, una vez que la información se haga pública, lo que podría multiplicar el alcance y la gravedad de los incidentes.

### 7. Implicaciones para Empresas y Usuarios

Más allá del impacto directo sobre organismos gubernamentales, la vulnerabilidad representa una amenaza significativa para cualquier organización que utilice Windows en entornos productivos. Dado el uso generalizado de WebDAV para la colaboración interna y la gestión documental, muchas empresas pueden estar expuestas sin saberlo.

A nivel regulatorio, incidentes de esta naturaleza pueden suponer graves incumplimientos del RGPD y de la directiva NIS2, especialmente en sectores críticos. La potencial filtración de datos personales o información estratégica puede traducirse en sanciones económicas y pérdida de confianza.

### 8. Conclusiones

El caso de Stealth Falcon y la explotación de la vulnerabilidad RCE en WebDAV de Windows pone de manifiesto la necesidad de una gestión proactiva de la exposición de servicios y un refuerzo constante de las capacidades de monitorización y respuesta. La coordinación entre equipos SOC, responsables de cumplimiento y administradores de sistemas es esencial para afrontar amenazas de este nivel.

La pronta publicación de un parche por parte de Microsoft será clave, pero el aprendizaje principal reside en la importancia de limitar la superficie de ataque y anticipar posibles vectores explotables a través de una gestión rigurosa de la seguridad perimetral y de los servicios expuestos.

(Fuente: www.bleepingcomputer.com)