Redazione RHC : 24 septiembre 2025 17:17
Una vulnerabilidad crítica en el instalador de Salesforce CLI (sf-x64.exe) permite a los atacantes obtener ejecución de código arbitrario, escalada de privilegios y acceso a nivel de SISTEMA en sistemas Windows.
La vulnerabilidad explota la forma en que el instalador resuelve las rutas de archivo durante la instalación. Salesforce ha lanzado la versión 2.106.6, que soluciona el problema codificando rutas de archivo absolutas y validando firmas digitales antes de cargar ejecutables adicionales.
Cuando se ejecuta sf-x64.exe, carga varios archivos ejecutables y DLL auxiliares del directorio de trabajo actual antes de regresar al directorio que contiene el instalador.
Un atacante que coloca un ejecutable falsificado con el mismo nombre que un componente legítimo ( por ejemplo, sf-autoupdate.exe o sf-config.dll ) en la misma carpeta puede hacer que el instalador cargue y ejecute el código del atacante.
Identificada como CVE-2025-9844, la falla se debe a que el instalador maneja incorrectamente las rutas de los archivos ejecutables , lo que permite que se ejecuten archivos maliciosos en lugar de binarios legítimos cuando el software se obtiene de fuentes no confiables.
Debido a que el instalador se ejecuta con privilegios elevados de manera predeterminada, escribiendo claves de registro en HKLM y creando servicios en LocalSystem, el código inyectado hereda privilegios de nivel SYSTEM, lo que le permite tomar control total de la máquina host.
Tras la ejecución, el instalador carga el archivo sf-autoupdate.exe fraudulento, que aumenta los privilegios mediante la creación de un servicio de shell inverso en la cuenta LocalSystem. El atacante utiliza el shell para ejecutar comandos en el sistema operativo. Todas las versiones de Salesforce-CLI anteriores a la 2.106.6 se ven afectadas por esta vulnerabilidad de secuestro de rutas.
Es importante tener en cuenta que solo corren riesgo los usuarios que instalan la CLI desde espejos no confiables o repositorios de terceros; las instalaciones descargadas directamente desde el sitio web oficial de Salesforce utilizan un instalador firmado que aplica rigurosas verificaciones de integridad y resolución de ruta.
Para solucionar el problema, los usuarios afectados deben desinstalar inmediatamente cualquier versión de CLI obtenida de fuentes no verificadas y ejecutar un análisis completo del sistema en busca de ejecutables desconocidos o servicios sospechosos.
Se recomienda a los administradores que implementen la instalación únicamente desde puntos de conexión de confianza y que habiliten las directivas de Control de Aplicaciones de Microsoft Defender (MDAC) para restringir la ejecución de binarios no autorizados en los directorios de instalación. Además, es necesario supervisar continuamente los registros de eventos del sistema para detectar instaladores que se ejecutan en ubicaciones no estándar.
RedazioneEl 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
Los ladrones entraron por una ventana del segundo piso del Museo del Louvre, pero el museo tenía problemas que iban más allá de las ventanas sin asegurar, según un informe de auditoría de ciberse...
Reuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
