Redazione RHC : 24 septiembre 2025 17:17
Una vulnerabilidad crítica en el instalador de Salesforce CLI (sf-x64.exe) permite a los atacantes obtener ejecución de código arbitrario, escalada de privilegios y acceso a nivel de SISTEMA en sistemas Windows.
La vulnerabilidad explota la forma en que el instalador resuelve las rutas de archivo durante la instalación. Salesforce ha lanzado la versión 2.106.6, que soluciona el problema codificando rutas de archivo absolutas y validando firmas digitales antes de cargar ejecutables adicionales.
Cuando se ejecuta sf-x64.exe, carga varios archivos ejecutables y DLL auxiliares del directorio de trabajo actual antes de regresar al directorio que contiene el instalador.
Un atacante que coloca un ejecutable falsificado con el mismo nombre que un componente legítimo ( por ejemplo, sf-autoupdate.exe o sf-config.dll ) en la misma carpeta puede hacer que el instalador cargue y ejecute el código del atacante.
Identificada como CVE-2025-9844, la falla se debe a que el instalador maneja incorrectamente las rutas de los archivos ejecutables , lo que permite que se ejecuten archivos maliciosos en lugar de binarios legítimos cuando el software se obtiene de fuentes no confiables.
Debido a que el instalador se ejecuta con privilegios elevados de manera predeterminada, escribiendo claves de registro en HKLM y creando servicios en LocalSystem, el código inyectado hereda privilegios de nivel SYSTEM, lo que le permite tomar control total de la máquina host.
Tras la ejecución, el instalador carga el archivo sf-autoupdate.exe fraudulento, que aumenta los privilegios mediante la creación de un servicio de shell inverso en la cuenta LocalSystem. El atacante utiliza el shell para ejecutar comandos en el sistema operativo. Todas las versiones de Salesforce-CLI anteriores a la 2.106.6 se ven afectadas por esta vulnerabilidad de secuestro de rutas.
Es importante tener en cuenta que solo corren riesgo los usuarios que instalan la CLI desde espejos no confiables o repositorios de terceros; las instalaciones descargadas directamente desde el sitio web oficial de Salesforce utilizan un instalador firmado que aplica rigurosas verificaciones de integridad y resolución de ruta.
Para solucionar el problema, los usuarios afectados deben desinstalar inmediatamente cualquier versión de CLI obtenida de fuentes no verificadas y ejecutar un análisis completo del sistema en busca de ejecutables desconocidos o servicios sospechosos.
Se recomienda a los administradores que implementen la instalación únicamente desde puntos de conexión de confianza y que habiliten las directivas de Control de Aplicaciones de Microsoft Defender (MDAC) para restringir la ejecución de binarios no autorizados en los directorios de instalación. Además, es necesario supervisar continuamente los registros de eventos del sistema para detectar instaladores que se ejecutan en ubicaciones no estándar.
RedazioneEn el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
