Fecha de publicación original: 8 de abril de 2025
KB ID: 5058189
Resumen
Existe una vulnerabilidad en Windows que permite a los usuarios no autorizados ver la ruta de acceso completa del archivo a un recurso al que no tienen permisos de acceso. Esta vulnerabilidad puede ocurrir cuando el usuario tiene FILE_LIST_DIRECTORY derechos de acceso en una carpeta principal y obtiene notificaciones de cambio de directorio.
Para obtener más información sobre esta vulnerabilidad, consulta CVE-2025-21197 y CVE-2025-27738.
Obtener más información
La corrección para esta vulnerabilidad se incluye en las actualizaciones de Windows publicadas el 8 de abril de 2025 o después.
Esta corrección se puede aplicar a los volúmenes NTFS y ReFS para evitar esta vulnerabilidad. Esta corrección realiza una comprobación de acceso FILE_LIST_DIRECTORY en la carpeta principal del archivo o carpeta modificados antes de informar de los cambios a un usuario no autorizado. Si el usuario no tiene los permisos necesarios, se filtrarán las notificaciones de cambio, lo que evitará la divulgación no autorizada de rutas de archivo.
De forma predeterminada, esta corrección está deshabilitada para evitar cualquier riesgo de seguridad inesperado o interrupción de la aplicación.
Para habilitar esta corrección, puede establecer el valor de clave del Registro o el valor de clave de directiva de grupo en el sistema afectado. Para ello, use uno de los métodos siguientes.
Método 1: Registro
En el Registro de Windows, activa la corrección en la subclave Policies o FileSystem .
Cautela Si las subclaves Policies y FileSystem están habilitadas, la subclave Policies tiene prioridad.
|
Directivas |
Ubicación del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Policies Nombre DWORD: EnforceDirectoryChangeNotificationPermissionCheck Fecha del valor: 1 (el valor predeterminado es 0) Nota Para desactivar la corrección, establezca los Datos del valor en 0. |
|
distribuido |
Ubicación en el Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem Nombre DWORD: EnforceDirectoryChangeNotificationPermissionCheck Fecha del valor: 1 (el valor predeterminado es 0) Nota Para desactivar la corrección, establezca los Datos del valor en 0. |
Método 2: PowerShell
Para habilitar la corrección, ejecute PowerShell como administrador y active la corrección en la subclave Policies o FileSystem .
|
Directivas |
Ejecute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type Dword |
|
distribuido |
Ejecute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 1 -Type DWord |
Para deshabilitar la corrección, ejecute PowerShell como administrador y desactive la corrección en la subclave Policies o FileSystem .
|
Directivas |
Ejecute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Policies" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
|
distribuido |
Ejecute este comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" -Name "EnforceDirectoryChangeNotificationPermissionCheck" -Value 0 -Type DWord |
