El martes de parches de abril de 2025 de Microsoft, incluye actualizaciones de seguridad para 125 vulnerabilidades y una vulnerabilidad Zero-Day explotada activamente.
Los parches corrigen once vulnerabilidades "críticas", todas ellas de ejecución remota de código.
El número de errores en cada categoría de vulnerabilidad se detalla a continuación:
- 49 Vulnerabilidades de Elevación de Privilegios
- 9 Vulnerabilidades de Omisión de Funciones de Seguridad
- 34 Vulnerabilidades de Ejecución Remota de Código
- 17 Vulnerabilidades de Divulgación de Información
- 14 Vulnerabilidades de Denegación de Servicio
- 3 Vulnerabilidades de Suplantación de Identidad
Las actualizaciones se suman a las 22 fallas que la compañía solucionó en su navegador Edge basado en Chromium y no incluyen las vulnerabilidades de Mariner ni las 13 vulnerabilidades de Microsoft Edge corregidas a principios de este mes.
Para obtener más información sobre las actualizaciones no relacionadas con la seguridad, puede consultar los artículos dedicados a las actualizaciones acumulativas KB5055523 y KB5055528 de Windows 11 y la actualización KB5055518 de Windows 10.
Vulnerabilidad Zero-Day explotada activamente:
- CVE-2025-29824 (CVSS 7.8): vulnerabilidad de elevación de privilegios (EoP) del controlador del sistema de archivos de registro común (CLFS) de Windows. Microsoft afirma que esta vulnerabilidad Zero-Day permite a atacantes locales obtener privilegios de SYSTEM en Windows 10. Es un ataque de baja complejidad que no requiere interacción del usuario. Aunque se ha anunciado ahora, los parches aún no están disponibles para Windows 10 y se lanzarán próximamente.
Las vulnerabilidades críticas incluyen:
- CVE-2025-26663 (CVSS 8.1) en LDAP y CVE-2025-26670 (CVSS 8.1) LDAP Client): permiten ejecución remota de código mediante una condición de carrera en servidores y clientes LDAP. Los parches aún no están disponibles para Windows 10.
- CVE-2025-27480 (CVSS 8.1) y CVE-2025-27482 (CVSS 8.1): permiten ejecución remota de código en sistemas con el rol Remote Desktop Gateway.
- CVE-2025-29809 (CVSS 7.1): una falla de omisión de funciones de seguridad (SFB) que afecta a Windows Kerberos.
También cabe destacar varias fallas de ejecución remota de código de gravedad crítica en Microsoft Office y Excel (CVE-2025-29791, CVE-2025-27749, CVE-2025-27748, CVE-2025-27745, y CVE-2025-27752), que podrían ser explotadas por un atacante utilizando un documento de Excel especialmente diseñado, lo que resultaría en el control total del sistema.
Para cerrar la lista de fallas críticas, se encuentran dos vulnerabilidades de ejecución remota de código que afectan a Windows TCP/IP (CVE-2025-26686) y Windows Hyper-V (CVE-2025-27491), las cuales podrían permitir a un atacante ejecutar código a través de una red bajo ciertas condiciones.
"La actualización de seguridad para Windows 10 para sistemas x64 y Windows 10 para sistemas de 32 bits no está disponible de inmediato", explicó Microsoft. "Las actualizaciones se publicarán lo antes posible y, cuando estén disponibles, se notificará a los clientes mediante una revisión".
Tras la publicación, Microsoft compartió más detalles sobre cómo el grupo de ransomware RansomEXX explotó la vulnerabilidad CVE-2025-29824 para obtener privilegios elevados.
Curiosidad "INETPUB"
Estas actualizaciones crean, de forma extraña, una carpeta "inetpub" vacía en la raíz de la unidad C:\, incluso en sistemas que no tienen instalado Internet Information Services (IIS).
IIS utiliza la carpeta C:\inetpub para almacenar el contenido del sitio web, los registros y otros archivos relacionados con el servidor, y normalmente no se crea en sistemas sin IIS instalado.
Sin embargo, esta carpeta ahora se crea automáticamente en sistemas donde IIS no está instalado tras instalar la actualización KB5055523 de Windows 11 y reiniciar el equipo.
La carpeta es propiedad de la cuenta SYSTEM, lo que indica que fue creada por un proceso elevado, que en este caso fue la actualización acumulativa. Si bien la presencia de la carpeta no afecta el rendimiento ni la estabilidad del sistema, su creación inesperada ha generado dudas sobre si esta actualización introdujo una nueva función o si se debió a un error.
Eliminar la carpeta no causa ningún problema al usar Windows.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en abril de 2025 incluyen:
- Adobe
- Amazon Web Services
- AMD
- Apache Parquet
- Apple
- Arm
- ASUS
- Bitdefender
- Broadcom (including VMware)
- Canon
- Cisco
- CrushFTP
- Dell
- Drupal
- F5
- Fortinet
- GitLab
- Google Android
- Google Chrome
- Google Cloud
- Hitachi Energy
- HP
- HP Enterprise (including Aruba Networking)
- Huawei
- IBM
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
- Linux distributions Amazon Linux, Debian, Oracle Linux, Red Hat, Rocky Linux, SUSE, and Ubuntu
- MediaTek
- Meta WhatsApp
- Minio
- Mitel
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Firefox, Firefox ESR, and Thunderbird
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SonicWall
- Sophos
- Splunk
- Spring Framework
- Synology
- WordPress
- Zoho ManageEngine, and
- Zoom