Un solo mklink — y ya eres hacker: ahora se puede romper Windows sin privilegios
Microsoft hace una jugada inesperada y bloquea las actualizaciones sin querer.
El intento de Microsoft de cerrar una vulnerabilidad con las actualizaciones de Windows de abril provocó un efecto secundario inesperado: ahora cualquier usuario puede bloquear deliberadamente la recepción de futuras actualizaciones del sistema operativo, incluidos parches críticos de seguridad. Y para ello ni siquiera se necesitan privilegios de administrador.
CVE-2025–21204 (puntuación CVSS: 7.8) permitía a los atacantes escalar privilegios en el sistema usando enlaces simbólicos en el directorio c:\inetpub. Como solución, Microsoft decidió preinstalar esa carpeta en todos los equipos a partir de la actualización de abril para Windows 10 y 11. Parecía una medida simple y segura: crear la carpeta por adelantado para que nadie pudiera usarla en ataques. Sin embargo, la implementación no tuvo en cuenta todos los posibles escenarios del sistema.
Como resultado, este nuevo enfoque abrió la puerta a una vulnerabilidad aún más grave. El investigador de seguridad Kevin Beaumont descubrió que basta con usar el comando estándar mklink /j para crear una redirección de carpeta (junction point) y apuntar c:\inetpub hacia cualquier archivo del sistema. Lo demostró enlazando el directorio con notepad.exe. Después de esta sustitución, cualquier intento de Windows Update de acceder a inetpub resultaba en un error y las actualizaciones se revertían.
Por ejemplo, al archivo notepad.exe. El comando sería el siguiente:
mklink /j c:\inetpub c:\windows\system32\notepad.exe
Este comando puede ejecutarse desde la línea de comandos estándar, iniciada con Win+R → cmd, sin necesidad de privilegios elevados. Tras ejecutarlo, el directorio inetpub se convierte en un enlace simbólico que apunta al ejecutable del Bloc de notas u otro destino elegido por el usuario.
Lo que ocurre a continuación no es evidente a simple vista, pero es crucial. Las actualizaciones de Windows, desde abril de 2025, intentan acceder al directorio inetpub durante su instalación, esperando que sea una carpeta común. Si encuentran en su lugar un enlace de tipo junction, el proceso de actualización falla. Algunas actualizaciones podrían no instalarse en absoluto, otras revertirse, y algunas completarse “con éxito” pero sin aplicar cambios reales al sistema. Es posible que el usuario ni siquiera sea notificado de que la protección sigue desactualizada.
Así, las actualizaciones de seguridad dejan de funcionar. No solo las actuales, sino todas las futuras, hasta que se elimine el enlace o se restaure el directorio dañado. Esto crea un escenario ideal para sabotaje interno en organizaciones, evasión de políticas de seguridad o incluso ataques dirigidos contra infraestructuras IT.
La vulnerabilidad ya fue comunicada al Microsoft Security Response Center (MSRC) hace aproximadamente dos semanas, pero aún no se ha recibido una respuesta oficial. Si Microsoft reconoce el problema, tendrá que modificar urgentemente la forma de preinstalar inetpub o añadir controles adicionales en el proceso de actualización del sistema.
Actualmente no existe una solución oficial provisional. La única forma de evitar el impacto de esta vulnerabilidad es supervisar manualmente la estructura de c:\inetpub y restringir los permisos de modificación. En entornos corporativos, también puede ser útil implementar sistemas de control de integridad y registro de cambios que detecten alteraciones en la raíz del disco del sistema.
Hasta que Microsoft publique una nueva actualización, Windows incluye por defecto un mecanismo con el que cualquier usuario, incluso sin privilegios de administrador, puede bloquear el acceso a las actualizaciones y dejar el sistema sin protección.