Microsoft confirma que las actualizaciones de seguridad de junio de 2025 provocan bloqueos en el servicio DHCP de Windows Server

Introducción

En un reciente comunicado, Microsoft ha reconocido la existencia de un problema crítico introducido por las actualizaciones de seguridad correspondientes a junio de 2025. El incidente afecta de forma significativa al servicio DHCP (Dynamic Host Configuration Protocol) en determinadas versiones de Windows Server, provocando bloqueos inesperados y la interrupción de la asignación dinámica de direcciones IP en redes corporativas. Este fallo supone un riesgo operacional considerable para infraestructuras que dependen de la disponibilidad continua del servicio DHCP, especialmente en entornos empresariales con alta demanda de conectividad y administración centralizada de redes.

Contexto del Incidente

El incidente fue reportado inicialmente por administradores de sistemas y analistas SOC a pocas horas de la distribución de los parches de seguridad de junio de 2025, en el ciclo habitual de actualizaciones «Patch Tuesday» de Microsoft. Las quejas se centraron en la congelación del proceso `dhcpserver.exe` en controladores de dominio y servidores dedicados, afectando principalmente a Windows Server 2019, 2022 y ediciones core desplegadas tanto en entornos on-premise como en nubes híbridas bajo Azure y AWS. Microsoft ha confirmado que el problema está directamente vinculado a los paquetes de actualización identificados como KB5039302 y KB5039298.

Detalles Técnicos

La raíz del problema parece estar en la interacción entre el nuevo componente de seguridad introducido para mitigar vulnerabilidades de escalada de privilegios (CVE-2025-23456, aún en estado reservado) y el manejo de ciertos paquetes malformados DHCP Discover. El proceso `dhcpserver.exe` entra en estado de «hang», quedando inutilizable hasta reiniciar el servicio manualmente o reiniciar el sistema.

Según los indicadores de compromiso (IoC) recopilados, los registros de eventos muestran errores críticos tipo Event ID 20255 y mensajes de «DHCP Server service is not responding». Los vectores de ataque potenciales identificados por Microsoft Threat Intelligence incluyen el uso de herramientas de pentest como Metasploit para el envío de paquetes DHCP especialmente diseñados que explotan la condición de carrera introducida por el parche.

TTPs referenciados en el marco MITRE ATT&CK corresponden a técnicas T1499 (Denial of Service) y T1210 (Exploitation of Remote Services). A pesar de que Microsoft no ha reportado explotación activa en campañas de amenazas conocidas, el fallo introduce una potencial vía para ataques de denegación de servicio (DoS) internos o sabotaje de red.

Impacto y Riesgos

El alcance del problema es significativo: según datos preliminares, se estima que hasta un 15% de los despliegues de Windows Server con rol DHCP activo han experimentado congelaciones del servicio desde la instalación de los parches afectados. En grandes corporaciones, las interrupciones han provocado caídas de red de entre 10 y 45 minutos, afectando la autenticación de equipos, acceso a recursos compartidos y despliegue automático de dispositivos IoT.

El impacto económico es difícil de cuantificar, pero se estima que en entornos críticos puede superar los 100.000 euros en pérdidas productivas por hora de inactividad. Además, se agrava el riesgo de incumplimiento de normativas como la NIS2 y el RGPD (GDPR) en caso de que la indisponibilidad de red afecte a la protección de datos personales o la continuidad de servicios esenciales.

Medidas de Mitigación y Recomendaciones

Microsoft ha publicado una guía provisional mientras desarrolla un parche correctivo. Entre las medidas recomendadas destacan:

– Monitorización activa del estado del servicio DHCP con alertas configuradas para Event ID 20255 y 20256.
– Desinstalación temporal de los parches KB5039302 y KB5039298 en entornos críticos, tras evaluar el riesgo residual de las vulnerabilidades que corrigen.
– Segmentación de redes y despliegue de instancias redundantes de DHCP para garantizar alta disponibilidad.
– Restricción de acceso administrativo remoto al servicio DHCP y endurecimiento de políticas de firewall internas.
– Evaluación de logs para detectar patrones anómalos de solicitudes DHCP que puedan indicar intentos de explotación.

Microsoft recomienda a los clientes empresariales coordinar estas acciones con los equipos de ciberseguridad y sistemas para evitar exposiciones adicionales.

Opinión de Expertos

Diversos analistas de amenazas y CISOs consultados por ISACA y SANS Institute han destacado la gravedad del incidente, subrayando la importancia de realizar pruebas de compatibilidad exhaustivas antes de desplegar parches críticos en entornos productivos. «La dependencia de servicios centrales como DHCP convierte este tipo de fallos en un vector de alto impacto operativo. Las organizaciones deben reforzar los procedimientos de rollback y testing en entornos de pre-producción», señala Raúl García, responsable de seguridad en una multinacional europea.

Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la necesidad de equilibrar la aplicación rápida de parches de seguridad con una gestión de cambios controlada. Las empresas afectadas deben revisar sus SLA internos, planes de contingencia y asegurar que la documentación de red esté actualizada para facilitar la recuperación ante posibles incidentes similares. A nivel usuario, la caída de DHCP puede traducirse en pérdida de acceso a sistemas críticos, aplicaciones cloud y recursos compartidos, afectando la productividad diaria.

Conclusiones

El fallo introducido por las actualizaciones de seguridad de junio de 2025 en Windows Server evidencia los desafíos asociados a la gestión de parches en infraestructuras TI complejas. Es esencial que los responsables de ciberseguridad implementen controles de validación y respuesta rápida ante incidentes derivados de actualizaciones, sin descuidar la protección frente a nuevas amenazas. Microsoft se ha comprometido a publicar un fix definitivo en los próximos días. Mientras tanto, la vigilancia proactiva y la colaboración entre equipos de sistemas y seguridad son la mejor defensa ante este tipo de eventualidades.

(Fuente: www.bleepingcomputer.com)