El martes de Parches de junio de 2025 de Microsoft incluye actualizaciones de seguridad para 67 vulnerabilidades, incluyendo una vulnerabilidad explotada activamente y otra divulgada públicamente.
Estos parches también corrigen once vulnerabilidades "críticas": ocho de ellas son vulnerabilidades de ejecución remota de código y dos son errores de elevación de privilegios.
El número de errores en cada categoría de vulnerabilidad se detalla a continuación:
- 14 Vulnerabilidades de Elevación de Privilegios
- 3 Vulnerabilidades de Omisión de Funciones de Seguridad
- 25 Vulnerabilidades de Ejecución Remota de Código
- 17 Vulnerabilidades de Divulgación de Información
- 6 Vulnerabilidades de Denegación de Servicio
- 2 Vulnerabilidades de Suplantación de Identidad
Este recuento no incluye las vulnerabilidades de Mariner, Microsoft Edge y Power Automate corregidas a principios de este mes. Los parches se suman a 13 deficiencias abordadas por la compañía en su navegador de borde basado en Chromium desde el lanzamiento de la actualización del martes del parche del mes pasado.
Dos vulnerabilidades Zero-Day
El martes de parches de este mes corrige una vulnerabilidad de día cero explotada activamente y una vulnerabilidad divulgada públicamente. Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente o explotada activamente mientras no haya una solución oficial disponible.
La vulnerabilidad Zero-Day explotada activamente es CVE-2025-33053 (Ejecución Remota de Código en Web Distributed Authoring and Versioning - WEBDAV). Microsoft corrigió esta vulnerabilidad de ejecución remota de código descubierta por Check Point Research. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado. El aviso de Microsoft también indica que el usuario debe hacer clic en una URL de WebDav especialmente diseñada para explotar la vulnerabilidad.
Check Point Research explica que CVE-2025-33053 fue explotada en ataques de día cero por un grupo APT llamado "Stealth Falcon" (aka FruityArmor). Los actores de amenazas utilizaron una técnica no revelada previamente para ejecutar archivos alojados en un servidor WebDAV que controlaban, manipulando el directorio de trabajo de una herramienta legítima integrada en Windows.
La explotación activa de CVE-2025-33053 ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregarlo al catálogo de vulnerabilidades explotadas conocidas (KEV).
La vulnerabilidad Zero-Day divulgada públicamente es CVE-2025-33073 (Elevación de privilegios en el cliente SMB de Windows). Microsoft corrige una falla en SMB de Windows que permite a los atacantes obtener privilegios de SYSTEM en dispositivos vulnerables. "Un control de acceso inadecuado en SMB de Windows permite a un atacante autorizado elevar privilegios en una red", explica Microsoft.
"Para explotar esta vulnerabilidad, un atacante podría ejecutar un script malicioso especialmente diseñado para obligar a la máquina víctima a conectarse de nuevo al sistema de ataque mediante SMB y autenticarse. Esto podría resultar en una elevación de privilegios", añade Microsoft.
Microsoft no ha compartido cómo se divulgó la falla. Sin embargo, Born City informa que DFN-CERT (Equipo de Respuesta a Emergencias Informáticas de la Red de Investigación Alemana) comenzó a difundir advertencias de RedTeam Pentesting sobre la falla esta semana.
Si bien ya hay una actualización disponible, la falla se puede mitigar implementando la firma SMB del lado del servidor mediante la directiva de grupo.
La vulnerabilidad más severa resuelta por Microsoft es una falla de escalamiento de privilegios en Power Automate (CVE-2025-47966, CVSS: 9.8) que podría permitir a un atacante elevar los privilegios sobre una red. Sin embargo, no se requiere acción del cliente para mitigar el error.
Otra vulnerabilidad de la nota incluye la elevación de fallas de privilegios en el controlador de Common Log File System - CLFS (CVE-2025-32713, CVSS 7.8), Windows Netlogon (CVE-2025-33070, CVSS 8.1), y Windows SMB Client (CVE-2025-33073, CVSS 8.8), así como un RCE crítico en Windows KDC Proxy Service (CVE-2025-33071, CVSS 8.1).
"En los últimos meses, el controlador de CLFS se ha convertido en un enfoque consistente tanto para los actores de amenaza como para los investigadores de seguridad debido a su explotación en múltiples operaciones de ransomware", dijo Ben McCarthy, ingeniero de seguridad de Immersive.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en junio de 2025 incluyen:
- Adobe released security updates for InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler, Acrobat Reader, and Substance 3D Painter.
- Cisco released patches for three vulnerabilities with public exploit code in its Identity Services Engine (ISE) and Customer Collaboration Platform (CCP) products.
- Fortinet released security updates for an OS command ('OS Command Injection') vulnerability in FortiManager, FortiAnalyzer & FortiAnalyzer-BigData products.
- Google's June 2025 security updates for Android fix numerous vulnerabilities. Google also fixed an actively exploited Google Chrome zero-day flaw.
- Hewlett Packard Enterprise (HPE) issued security updates to fix eight vulnerabilities impacting StoreOnce,
- Ivanti released security updates to fix three high-severity hardcoded key vulnerabilities in Workspace Control (IWC).
- Qualcomm released security updates for three zero-day vulnerabilities in the Adreno Graphics Processing Unit (GPU) driver that are exploited in targeted attacks.
- Roundcube released security updates for a critical remote code execution (RCE) flaw with a public exploit that is now exploited in attacks.
- SAP releases security updates for multiple products, including a critical missing authorization check in SAP NetWeaver Application Server for ABAP.
Fuente: BC