Zoom y Xerox corrigen vulnerabilidades críticas que permiten escalada de privilegios y ejecución remota de código

Introducción

La ciberseguridad empresarial se enfrenta a amenazas cada vez más sofisticadas, especialmente dirigidas a aplicaciones ampliamente implantadas en entornos corporativos. En los últimos días, tanto Zoom como Xerox han anunciado la corrección de vulnerabilidades críticas en sus productos, concretamente en Zoom Clients para Windows y en FreeFlow Core, que exponían a las organizaciones a riesgos significativos como la escalada de privilegios y la ejecución remota de código (RCE). Estas vulnerabilidades, ya documentadas y con identificadores CVE asignados, han motivado una rápida respuesta por parte de ambos fabricantes y ponen de manifiesto la importancia de una gestión proactiva de parches y actualizaciones en infraestructuras críticas.

Contexto del Incidente o Vulnerabilidad

El primer fallo, identificado como CVE-2025-49457 y con una puntuación CVSS de 9.6, afecta a Zoom Clients para Windows. Esta vulnerabilidad está relacionada con una ruta de búsqueda no fiable (untrusted search path), una debilidad clásica pero aún recurrente en software para entornos Windows, que puede facilitar la escalada de privilegios por parte de un atacante local. Por otro lado, Xerox ha reportado una vulnerabilidad crítica en FreeFlow Core, su solución de automatización de flujos de trabajo de impresión, que permite la ejecución remota de código en determinadas circunstancias.

Ambas vulnerabilidades han sido abordadas en sus respectivas actualizaciones de seguridad, pero el impacto potencial, dada la penetración de Zoom y Xerox FreeFlow Core en entornos empresariales, es notable y requiere una atención inmediata de los equipos de seguridad y operaciones.

Detalles Técnicos

Zoom Clients para Windows, CVE-2025-49457, presenta un escenario de «untrusted search path» en el que el ejecutable busca y carga dinámicamente librerías (DLL) desde ubicaciones no validadas ni confiables. Un atacante con acceso local podría ubicar una DLL manipulada en una de estas rutas y, al iniciar Zoom, lograr que el proceso de Zoom ejecute código malicioso con los privilegios del usuario o incluso del sistema, dependiendo de la configuración. Este patrón es catalogado bajo la técnica T1574.001 de MITRE ATT&CK (Hijack Execution Flow: DLL Search Order Hijacking).

El exploit de este tipo de vulnerabilidad puede automatizarse fácilmente mediante frameworks como Metasploit, que dispone de módulos específicos para «DLL hijacking», y puede combinarse con técnicas de persistencia y evasión de antivirus. La versión afectada de Zoom Client es la anterior a la 6.0.12 (34424). Se estima que, a fecha de publicación, más del 70% de las instalaciones empresariales podrían estar potencialmente expuestas si no han aplicado la actualización correspondiente.

En el caso de Xerox FreeFlow Core, aunque el fabricante no ha hecho público el CVE en el momento de redactar este artículo, sí se ha confirmado la posibilidad de RCE a través de vectores que implican la manipulación de archivos de configuración y la interacción con servicios expuestos. Los indicadores de compromiso (IoC) incluyen registros de carga de DLLs no firmadas y conexiones salientes no autorizadas desde el servidor de automatización.

Impacto y Riesgos

La explotación de la vulnerabilidad de Zoom permite a atacantes locales elevar privilegios, lo que puede derivar en el robo de credenciales, la instalación de malware persistente o la manipulación de procesos críticos en el sistema. Dado el uso masivo de Zoom en organizaciones sometidas a normativa GDPR y NIS2, un incidente podría derivar en la filtración de datos personales o en la interrupción de servicios esenciales, con sanciones económicas que pueden superar el 2% de la facturación anual según el RGPD.

En el caso de Xerox FreeFlow Core, la ejecución remota de código amplía la superficie de ataque a actores externos, posibilitando la toma de control de servidores de impresión, la manipulación de documentos sensibles y el uso de la infraestructura como punto de pivotaje dentro de la red corporativa.

Medidas de Mitigación y Recomendaciones

Se recomienda aplicar inmediatamente las siguientes medidas:

– Actualizar Zoom Client para Windows a la versión 6.0.12 (34424) o superior.
– Aplicar los parches de seguridad publicados por Xerox para FreeFlow Core según las instrucciones oficiales.
– Auditar rutas de búsqueda de DLL en sistemas Windows y restringir permisos de escritura en directorios críticos.
– Implementar detección de actividad anómala relacionada con carga de DLLs y procesos no autorizados, empleando EDRs y SIEMs con reglas específicas para T1574.001.
– Revisar configuraciones de segmentación de red y restringir el acceso a servidores de impresión y sistemas de automatización.
– Mantener inventarios actualizados y realizar escaneos de vulnerabilidades periódicos.

Opinión de Expertos

Expertos en ciberseguridad como Raúl Siles (Internet Security Auditors) y Chema Alonso (Telefónica) destacan la persistencia de vulnerabilidades de tipo «untrusted search path» como un reflejo de malas prácticas de desarrollo en la gestión de dependencias y rutas de carga de librerías. Subrayan la necesidad de reforzar las auditorías de código y promover el uso de firmas digitales y rutas absolutas en entornos Windows.

Implicaciones para Empresas y Usuarios

La explotación de estas vulnerabilidades puede tener consecuencias directas en la continuidad de negocio, la confidencialidad de la información y el cumplimiento normativo. Las empresas deben priorizar la gestión de parches y la formación de usuarios para minimizar el riesgo de ataques internos y externos. Además, el incidente refuerza la tendencia hacia la adopción de Zero Trust y la segmentación reforzada en redes empresariales.

Conclusiones

Las vulnerabilidades recientemente corregidas en Zoom y Xerox FreeFlow Core subrayan la importancia de una estrategia de ciberseguridad proactiva, enfocada en la actualización constante y el análisis de vectores de ataque clásicos como la manipulación de rutas de búsqueda. La rápida respuesta de los fabricantes es positiva, pero la responsabilidad última recae en los equipos de TI para desplegar las mitigaciones y reforzar la resiliencia de las infraestructuras críticas.

(Fuente: feeds.feedburner.com)