Ayer martes, Microsoft publicó correcciones para 63 fallas de seguridad que afectan a sus productos de software, incluidas 4 Zero-Day y dos vulnerabilidades que han sido explotadas activamente.
De las 63 vulnerabilidades, tres están clasificadas como críticas, 57 como importantes, una como moderada y dos como de baja gravedad. Esto se suma a las 23 fallas que Microsoft abordó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches del mes pasado.
A continuación se muestra la cantidad de errores en cada categoría de vulnerabilidad:
- 19 vulnerabilidades de elevación de privilegios
- 2 vulnerabilidades de omisión de funciones de seguridad
- 22 vulnerabilidades de ejecución remota de código
- 1 vulnerabilidad de divulgación de información
- 9 vulnerabilidades de denegación de servicio
- 3 vulnerabilidades de suplantación de identidad
La actualización corrige dos fallas explotadas activamente:
- CVE-2025-21391 (CVSS: 7,1): vulnerabilidad de elevación de privilegios en el almacenamiento de Windows. "Esta vulnerabilidad no permite la divulgación de ninguna información confidencial, pero podría permitir que un atacante elimine datos que podrían incluir datos que resulten en la no disponibilidad del servicio".
- CVE-2025-21418 (CVSS: 7,8): vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock. Se refiere a un caso de escalamiento de privilegios en AFD.sys que podría ser explotado para lograr SYSTEM.
Mike Walters, presidente y cofundador de Action1, señaló que la vulnerabilidad CVE-2025-21391 podría encadenarse con otras fallas para escalar privilegios y realizar acciones posteriores que pueden complicar los esfuerzos de recuperación y permitir que los actores de amenazas cubran sus huellas eliminando artefactos forenses cruciales.
Vale la pena señalar que Gen Digital reveló en agosto pasado que el grupo Lazarus, vinculado a Corea del Norte, estaba utilizando como arma una falla similar en AFD.sys (CVE-2024-38193). En febrero de 2024, el gigante tecnológico también detectó una falla de escalamiento de privilegios en el kernel de Windows (CVE-2024-21338) que afectaba al controlador de AppLocker (appid.sys) y que también fue explotada activamente.
Estas cadenas de ataque se destacan porque van más allá de un ataque tradicional Bring Your Own Vulnerable Driver (BYOVD) al aprovechar una falla de seguridad en un controlador nativo de Windows, lo que evita la necesidad de introducir otros controladores en los entornos de destino.
Actualmente no se sabe si el abuso de CVE-2025-21418 también está vinculado al Grupo Lazarus. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido ambas fallas a su catálogo de vulnerabilidades explotadas conocidas (KEV), y exige que las agencias federales apliquen los parches antes del 4 de marzo de 2025.
Los días cero revelados públicamente son:
- CVE-2025-21194 (CVSS: 7,1): Vulnerabilidad de omisión de características de seguridad de Microsoft Surface. Esta falla es una vulnerabilidad de hipervisor que permite que los ataques omitan la UEFI y comprometan el kernel seguro. Si bien Microsoft no compartió muchos detalles sobre la falla, es probable que esté relacionada con las fallas PixieFail reveladas por los investigadores el mes pasado (conjunto de nueve vulnerabilidades que afectan la pila de protocolos de red IPv6 de EDK II de Tianocore, que es utilizada por Microsoft Surface y los productos de hipervisor de la compañía)
- CVE-2025-21377 (CVSS: 6,5): Vulnerabilidad de suplantación de hash NTLM. Microsoft ha corregido un error divulgado públicamente que expone los hashes NTLM de un usuario de Windows, lo que permite que un atacante remoto inicie sesión como el usuario. Es probable que actúe como otras fallas de divulgación de hash NTLM, donde simplemente interactuar con un archivo en lugar de abrirlo podría hacer que Windows se conecte de forma remota a un recurso compartido remoto. Al hacerlo, una negociación NTLM pasa el hash del usuario al servidor remoto, que el atacante puede recopilar.
La vulnerabilidad más grave que Microsoft ha abordado en la actualización de este mes es CVE-2025-21198 (CVSS: 9,0), una vulnerabilidad de ejecución remota de código (RCE) en el paquete de computación de alto rendimiento (HPC). "Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTPS especialmente diseñada al nodo principal o al nodo de computación Linux de destino, lo que les otorgaría la capacidad de realizar RCE en otros clústeres o nodos conectados al nodo principal de destino", afirmó Microsoft.
También cabe mencionar otra vulnerabilidad de RCE (CVE-2025-21376, CVSS: 8,1) que afecta al protocolo LDAP de Windows y que permite a un atacante enviar una solicitud especialmente diseñada y ejecutar código arbitrario. Sin embargo, para explotar con éxito la vulnerabilidad, el actor de la amenaza debe superar una condición de carrera.
"Dado que LDAP es parte integral de Active Directory, que sustenta la autenticación y el control de acceso en entornos empresariales, una vulneración podría provocar movimientos laterales, escalamiento de privilegios y brechas generalizadas en la red", afirmó Ben McCarthy, ingeniero principal de ciberseguridad de Immersive Labs.
En otro aspecto, la actualización también resuelve una vulnerabilidad de divulgación de hash NTLMv2 (CVE-2025-21377, CVSS: 6,5) que, si se explota con éxito, podría permitir que un atacante se autentique como el usuario objetivo.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, entre ellas:
- Adobe
- Advantive VeraCore
- Amazon Web Services
- AMD
- Apple
- Arm
- ASUS
- AutomationDirect
- Bosch
- Canon
- Cisco
- CODESYS
- D-Link
- Dell
- Devolutions Remote Desktop Manager
- Drupal
- F5
- Fortinet
- GitLab
- Google Android and Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- HMS Networks
- HP
- HP Enterprise (including Aruba Networking)
- IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Mitel
- Mitsubishi Electric
- Mozilla Firefox, Firefox ESR, and Thunderbird
- NETGEAR
- NVIDIA
- OpenSSL
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Synology
- Trimble Cityworks
- Veeam
- Veritas
- Zimbra
- Zoom
- Zyxel
Fuente: BC