AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Microsoft reconoce error persistente en Windows Firewall pese a informes de corrección en actualizaciones recientes**

admin

### Introducción

A pesar de la comunicación oficial de Microsoft sobre la resolución de un fallo relacionado con mensajes de error del Firewall de Windows, la propia compañía ha tenido que admitir recientemente que el problema persiste y que, en realidad, aún están trabajando en una solución definitiva. Esta situación ha generado preocupación entre profesionales de la ciberseguridad, administradores de sistemas y usuarios avanzados, debido a la posible exposición de sistemas Windows a amenazas si la funcionalidad del firewall se ve comprometida.

### Contexto del Incidente

Desde el pasado mes de mayo de 2024, múltiples organizaciones y usuarios han reportado la aparición reiterada de mensajes de error relacionados con la configuración y el funcionamiento del Firewall de Windows tras la instalación de parches acumulativos recientes. El problema afecta principalmente a entornos empresariales que gestionan reglas de firewall a través de políticas de grupo (GPO) y Microsoft Defender for Endpoint.

El error se manifiesta en los sistemas Windows 10, Windows 11 y versiones de Windows Server 2019/2022, donde al aplicar o modificar reglas del firewall, el sistema muestra alertas incorrectas indicando que la operación no ha podido completarse exitosamente, aunque en muchos casos la regla sí se aplica. Esta incongruencia ha generado confusión y dudas sobre el estado real de protección de los endpoints.

### Detalles Técnicos

El fallo ha sido asociado inicialmente a los siguientes boletines y actualizaciones: KB5037768, KB5037765 y KB5037783, liberados entre mayo y junio de 2024. Aunque Microsoft listó el problema como resuelto en las notas de algunas actualizaciones, la compañía ha tenido que rectificar, reconociendo que la vulnerabilidad sigue activa.

El error, categorizado bajo el identificador interno de Microsoft y en proceso de asignación de CVE, puede afectar la correcta aplicación de reglas de firewall cuando se sincronizan a través de GPO o soluciones EDR. Según analistas SOC, el principal vector de ataque potencial reside en la posibilidad de que reglas críticas no se apliquen correctamente, dejando servicios o puertos expuestos inadvertidamente.

Desde el punto de vista MITRE ATT&CK, el fallo podría facilitar técnicas como **Defense Evasion (T1562.004 – Disable or Modify System Firewall)**, permitiendo a un atacante local o con privilegios de administrador deshabilitar o modificar la configuración del firewall sin ser detectado por los sistemas de monitoreo habituales.

Hasta el momento, no existen exploits públicos que aprovechen este fallo de manera directa, ni se ha observado su integración en frameworks como Metasploit o Cobalt Strike. Sin embargo, investigadores de seguridad advierten que el fallo incrementa la superficie de ataque y puede ser aprovechado en ataques de escalada de privilegios o persistencia.

### Impacto y Riesgos

El impacto potencial es significativo en organizaciones que dependen de la gestión centralizada de políticas de firewall para el cumplimiento normativo (GDPR, NIS2) y la protección de activos críticos. Se estima que hasta un **40% de los endpoints gestionados en entornos corporativos** podrían estar expuestos a una incorrecta aplicación de reglas, basándose en estadísticas de implementación de GPO y EDR sobre plataformas Windows.

La falsa sensación de seguridad derivada de mensajes de error o éxito incorrectos puede llevar a brechas no detectadas, fallos en auditorías de cumplimiento y exposición a ataques de ransomware, movimiento lateral o filtración de información.

Financieramente, los costes asociados a la gestión de incidencias, auditorías forenses y posibles sanciones regulatorias podrían superar los **100.000 euros** en organizaciones medianas, según consultoras especializadas en respuesta a incidentes.

### Medidas de Mitigación y Recomendaciones

Microsoft recomienda, mientras se desarrolla un parche definitivo:

– Revisar manualmente la aplicación de reglas de firewall tras cada cambio, utilizando comandos como `netsh advfirewall firewall show rule name=all` y comprobando logs de eventos de seguridad.
– Implementar alertas adicionales a través de SIEM para identificar cambios inesperados en la configuración del firewall.
– Evaluar la aplicación temporal de reglas críticas a través de scripts de PowerShell firmados y verificados.
– Mantenerse actualizado respecto a los comunicados de Microsoft y evitar la desinstalación de actualizaciones salvo recomendación expresa.
– Documentar cualquier incidencia para facilitar la trazabilidad y el análisis forense en caso de incidente.

### Opinión de Expertos

Especialistas en ciberseguridad han criticado la falta de claridad en la comunicación inicial de Microsoft, resaltando la importancia de pruebas exhaustivas antes de declarar un fallo como solucionado. “Este tipo de errores en componentes críticos como el firewall pueden tener consecuencias graves en el perímetro de defensa de cualquier organización”, señala un analista de amenazas de S21sec.

Por su parte, responsables de seguridad recomiendan reforzar las auditorías internas y no confiar únicamente en mensajes de validación del sistema. “Las validaciones manuales y el monitoreo continuo son clave mientras se resuelve el problema”, apunta un CISO del sector financiero.

### Implicaciones para Empresas y Usuarios

El incidente subraya la dependencia crítica de las organizaciones en los mecanismos de protección nativos de Windows y la necesidad de contar con políticas de defensa en profundidad. La gestión de parches, la verificación de reglas y la monitorización de la configuración se convierten en tareas imprescindibles para garantizar la resiliencia frente a incidentes.

Para los usuarios avanzados y administradores, el reto reside en balancear la aplicación de parches con la garantía de funcionalidad, sin sacrificar la seguridad. El cumplimiento de normativas (GDPR, NIS2) puede verse comprometido en caso de que una brecha derive de la incorrecta aplicación de políticas de firewall.

### Conclusiones

El fallo persistente en los mensajes de error del Firewall de Windows, junto a la confusión generada por la comunicación errónea de su resolución, pone de manifiesto la importancia de la transparencia y la exhaustividad en la gestión de vulnerabilidades críticas. Mientras Microsoft trabaja en una solución definitiva, se recomienda extremar las precauciones y reforzar los controles internos para minimizar el riesgo de exposición.

(Fuente: www.bleepingcomputer.com)