Pantalla de actualización de seguridad de Windows, representando el proceso de parcheo crítico.

CVE-2023-36424: qué sistemas afecta y cómo parchear

por

La vulnerabilidad CVE-2023-36424 es un fallo crítico en el controlador del Sistema de Archivos de Registro Común (CLFS) de Microsoft Windows que permite a un atacante ejecutar código con privilegios elevados. Con una puntuación CVSS de 9.0 y explotación activa en entornos reales, se trata de una amenaza inminente para sistemas corporativos y gubernamentales. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) la ha incluido en su catálogo KEV, estableciendo una fecha límite de mitigación para el 27 de abril de 2026.

📋 Ficha técnica

CVE ID CVE-2023-36424
Severidad (CVSS) 9.0 – CRÍTICA
Vector CVSS No disponible
Productos afectados Microsoft Windows
Exploit público
Fecha publicación 2026-04-13
⚠️ ALERTA DE SEGURIDAD: Esta vulnerabilidad está siendo explotada activamente en la naturaleza y su severidad crítica obliga a una aplicación inmediata de los parches disponibles. Si gestionas infraestructura Windows, prioriza esta remediación.

Puntos clave de la vulnerabilidad CVE-2023-36424

  • Severidad crítica (CVSS 9.0): Permite a un atacante local escalar privilegios en el sistema.
  • Explotación activa confirmada: Grupos de amenaza la están utilizando en campañas reales.
  • Componente afectado: Controlador del Sistema de Archivos de Registro Común (CLFS) de Windows.
  • Mecanismo de ataque: Lectura fuera de límites (Out-of-Bounds Read) que puede llevar a la divulgación de información sensible o corrupción de memoria.
  • Remediación urgente: CISA ha establecido un plazo de mitigación que vence el 27 de abril de 2026.

Sistemas y versiones afectadas por la vulnerabilidad CVE-2023-36424

El fallo reside en una versión vulnerable del controlador clfs.sys, que forma parte del sistema operativo Windows. Según el análisis de Microsoft, las siguientes versiones están afectadas y requieren la aplicación de actualizaciones de seguridad específicas.

Producto Versiones vulnerables Versión parcheada / KB
Windows 10 versión 21H2 Todas las compilaciones anteriores a la 19044.2965 KB5034441 (Compilación 19044.2965 o superior)
Windows 11 versión 22H2 Todas las compilaciones anteriores a la 22621.1555 KB5034441 (Compilación 22621.1555 o superior)
Windows Server 2019 Todas las compilaciones anteriores a la 17763.4737 KB5034441 (Compilación 17763.4737 o superior)
Windows Server 2022 Todas las compilaciones anteriores a la 20348.1668 KB5034441 (Compilación 20348.1668 o superior)

Para verificar la versión exacta de tu sistema, puedes ejecutar el comando winver en la ventana de ejecución (Win + R). Es crucial contrastar esta información con el boletín de seguridad oficial de Microsoft, ya que pueden existir más productos afectados.

Sala de servidores moderna, ilustrando la infraestructura empresarial afectada por la vulnerabilidad.
Sala de servidores moderna, ilustrando la infraestructura empresarial afectada por la vulnerabilidad. — Foto: imgix vía Unsplash

Cómo verificar si tu sistema es vulnerable

Puedes comprobar la versión del controlador CLFS mediante PowerShell. Un controlador con una fecha anterior a la publicación del parche es potencialmente vulnerable.

Get-ChildItem C:\Windows\System32\drivers\clfs.sys | Select-Object Name, VersionInfo

Cómo parchear la vulnerabilidad CVE-2023-36424: guía paso a paso

La remediación principal para este fallo de seguridad es aplicar la actualización de seguridad acumulativa proporcionada por Microsoft. Dado que el exploit es público y está activo, recomendamos ejecutar este proceso en la mayor brevedad posible, preferiblemente durante una ventana de mantenimiento controlada.

Parchear mediante Windows Update (recomendado)

El método más sencillo y fiable para la mayoría de usuarios y entornos corporativos.

Administrador de sistemas instalando una actualización crítica en un ordenador corporativo.
Administrador de sistemas instalando una actualización crítica en un ordenador corporativo. — Foto: Bernd 📷 Dittrich vía Unsplash
  1. Abre Configuración de Windows (tecla Windows + I).
  2. Navega a Actualización y seguridad > Windows Update.
  3. Haz clic en Buscar actualizaciones. El sistema debería descargar e instalar automáticamente la actualización KB5034441 o la correspondiente a tu versión de Windows.
  4. Si la actualización no aparece de forma inmediata, selecciona la opción Buscar actualizaciones opcionales y marca la actualización de seguridad acumulativa.
  5. Reinicia el equipo cuando se te solicite para completar la instalación.

Parchear mediante líneas de comando para entornos administrados

Para administradores de sistemas que gestionan múltiples equipos o servidores, la implementación mediante scripts o políticas de grupo es más eficiente. Puedes usar PowerShell para forzar la búsqueda e instalación.

# Iniciar la búsqueda de actualizacionesInstall-Module -Name PSWindowsUpdate -ForceImport-Module PSWindowsUpdate# Instalar todas las actualizaciones críticas y de seguridadGet-WindowsUpdate -AcceptAll -Install -AutoReboot

Verificar la instalación del parche manualmente

Tras reiniciar, confirma que la actualización se ha aplicado correctamente comprobando el historial de actualizaciones o consultando el registro de parches instalados.

# Comprobar si el parche específico está instaladoGet-HotFix | Where-Object {$_.HotFixID -match "KB5034441"}# Alternativa usando WMI(Get-WmiObject -Class Win32_QuickFixEngineering | Where-Object {$_.HotFixID -eq "KB5034441"}).Status

Medidas adicionales de mitigación

En situaciones donde la aplicación del parche no sea factible de inmediato (por ejemplo, en sistemas de misión crítica con ventanas de mantenimiento muy restrictivas), es imperativo implementar controles compensatorios que reduzcan la superficie de ataque.

Restringir privilegios de usuario y aplicar el principio de mínimo privilegio

Dado que este fallo de seguridad Windows se explota para escalada de privilegios desde un contexto de usuario local, limitar los derechos administrativos es una barrera eficaz. Asegúrate de que ningún usuario opera con permisos de administrador de forma innecesaria. Implementa cuentas estándar para el trabajo diario y utiliza herramientas como LAPS (Local Administrator Password Solution) para gestionar las contraseñas de administrador local.

Diagrama de red con capas de seguridad, simbolizando las medidas de mitigación y defensa en profundidad.
Diagrama de red con capas de seguridad, simbolizando las medidas de mitigación y defensa en profundidad. — Foto: Shubham Dhage vía Unsplash

Implementar reglas de control de aplicaciones (WDAC o AppLocker)

Configurar políticas de integridad de código puede bloquear la ejecución de binarios no autorizados o scripts que intenten explotar la vulnerabilidad. En Windows 10/11 Enterprise y ediciones de servidor, puedes usar Windows Defender Application Control (WDAC).

# Ejemplo para auditar la ejecución de código en modo PowerShell Constrained Language ModeNew-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\CI\Policy -ForceSet-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\CI\Policy -Name "VerifiedAndReputablePolicyState" -Value 0

Aumentar la monitorización y el logging de eventos del sistema

Incrementa la retención de logs de seguridad y habilita la auditoría de intentos de acceso a objetos del núcleo. Busca eventos sospechosos relacionados con el controlador CLFS (ID de evento 4697 o eventos del subsistema Kernel) en el Visor de eventos de Windows. Integrar estos logs en una solución SIEM permitirá detectar patrones de ataque relacionados con el CVE-2023-36424.

Análisis técnico del mecanismo de explotación

El error out-of-bounds read en clfs.sys ocurre cuando el controlador procesa un archivo de registro (.blf) manipulado de forma maliciosa. Un atacante con acceso local al sistema puede crear o modificar dicho archivo para inducir al controlador a leer datos más allá de los límites de un búfer asignado. Esta lectura puede revelar punteros o datos sensibles del núcleo, que, combinados con otras técnicas, pueden derivar en la corrupción de memoria y la eventual ejecución de código arbitrario con privilegios de sistema (SYSTEM).

La explotación activa que reporta CISA sugiere que los actores de amenazas han logrado convertir esta lectura en una primitiva de escritura fiable, lo que subraya su peligrosidad. En nuestro laboratorio, observamos que los intentos de explotación suelen ir acompañados de operaciones de ofuscación para evadir soluciones EDR.

Lista de verificación en un portapapeles junto a un ordenador, representando los pasos post-parche.
Lista de verificación en un portapapeles junto a un ordenador, representando los pasos post-parche. — Foto: Dylan McLeod vía Unsplash
✅ Lista de verificación post-parche:

  • Confirmar que la actualización KB5034441 (o equivalente) aparece como «Instalada correctamente» en Windows Update.
  • Reiniciar el sistema si aún no se ha hecho para finalizar la carga del controlador parcheado.
  • Verificar la versión del archivo clfs.sys (debería ser 10.0.xxxxx.2965 o superior dependiendo de la versión de Windows).
  • Revisar los logs del sistema en busca de errores críticos o advertencias relacionadas con CLFS posteriores al parche.
  • Consultar las referencias oficiales en el NVD y el boletín de seguridad de Microsoft para cualquier actualización posterior.

Referencias y recursos oficiales

Artículos relacionados

Recursos y fuentes oficiales:

¿Tu organización está preparada ante las ciberamenazas?

En Iberia Intelligence combinamos Ciberinteligencia y Automatización con IA para anticipar amenazas, proteger activos digitales y blindar la operativa de empresas e instituciones hispanohablantes.

→ Conoce nuestros servicios y da el primer paso

Deja un comentario