uno afecta a todas las versiones lanzadas hasta la fecha – Blog EHCGroup

Microsoft lanzó el martes correcciones para unas impresionantes 183 fallas de seguridad que abarcan sus productos, incluidas tres vulnerabilidades que han sido explotadas activamente, mientras que el gigante tecnológico finalizó oficialmente el soporte para su sistema operativo Windows 10 a menos que las PC estén inscritas en el programa de Actualizaciones de seguridad extendidas ( ESU ).

De las 183 vulnerabilidades, ocho son CVE no emitidas por Microsoft. Un total de 165 fallas se han clasificado como importantes en cuanto a gravedad, seguidas de 17 como críticas y una como moderada. La gran mayoría se relaciona con vulnerabilidades de elevación de privilegios (84), mientras que el resto se debe a problemas de ejecución remota de código (33), divulgación de información (28), suplantación de identidad (14), denegación de servicio (11) y omisión de funciones de seguridad (11).

Las actualizaciones se suman a las 25 vulnerabilidades que Microsoft abordó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de septiembre de 2025 .

Los dos días cero de Windows que han sido objeto de explotación activa son los siguientes:

• CVE-2025-24990 (puntuación CVSS: 7,8): Vulnerabilidad de elevación de privilegios en el controlador de módem Agere de Windows («ltmdm64.sys»)
• CVE-2025-59230 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en el Administrador de conexión de acceso remoto de Windows (RasMan)

Microsoft afirmó que ambos problemas podrían permitir a los atacantes ejecutar código con privilegios elevados, aunque actualmente no hay indicios de cómo se están explotando ni de la extensión de estos intentos. En el caso de CVE-2025-24990, la compañía afirmó que planea eliminar el controlador por completo, en lugar de publicar un parche para un componente heredado de terceros.

Alex Vovk, CEO y cofundador de Action1, describió el defecto de seguridad como «peligroso», ya que tiene su origen en un código heredado instalado de forma predeterminada en todos los sistemas Windows, independientemente de si el hardware asociado está presente o en uso.

«El controlador vulnerable viene con todas las versiones de Windows, hasta Server 2025 inclusive», dijo Adam Barnett, ingeniero jefe de software de Rapid7. «¿Quizás su módem de fax usa un chipset diferente y, por lo tanto, no necesita el controlador Agere? ¿Quizás simplemente descubrió el correo electrónico? Mala suerte. Su PC sigue siendo vulnerable, y un atacante local con una cuenta con privilegios mínimos puede ascender a administrador».

Según Satnam Narang, ingeniero de investigación sénior de Tenable, CVE-2025-59230 es la primera vulnerabilidad de RasMan explotada como día cero. Microsoft ha corregido más de 20 fallos en el componente desde enero de 2022.

La tercera vulnerabilidad explotada en ataques reales se refiere a un caso de omisión del arranque seguro en IGEL OS anterior a la versión 11 ( CVE-2025-47827 , puntuación CVSS: 4,6). Los detalles de la falla fueron revelados públicamente por primera vez por el investigador de seguridad Zack Didcott en junio de 2025.

«Los impactos de una evasión de arranque seguro pueden ser significativos, ya que los actores de amenazas pueden implementar un rootkit a nivel de kernel, obteniendo acceso al propio sistema operativo IGEL y, por extensión, luego manipulando los escritorios virtuales, incluida la captura de credenciales», dijo Kev Breen, director sénior de investigación de amenazas en Immersive.

Cabe señalar que no se trata de un ataque remoto, y que normalmente se requiere acceso físico para explotar este tipo de vulnerabilidad, lo que significa que los ataques de tipo «criada malvada» son el vector más probable que afecta a los empleados que viajan con frecuencia.

Desde entonces, los tres problemas se han agregado al catálogo de vulnerabilidades explotadas conocidas ( KEV ) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) , lo que requiere que las agencias federales apliquen los parches antes del 4 de noviembre de 2025.

Otras vulnerabilidades críticas a destacar incluyen un error de ejecución remota de código (RCE) ( CVE-2025-59287 , puntaje CVSS: 9.8) en Windows Server Update Service (WSUS), una vulnerabilidad de lectura fuera de límites en la función auxiliar CryptHmacSign de la implementación de referencia TPM2.0 de Trusted Computing Group (TCG) ( CVE-2025-2884 , puntaje CVSS: 5.3) y un RCE en Windows URL Parsing ( CVE-2025-59295 , 8.8).

«Un atacante puede aprovechar esto construyendo cuidadosamente una URL maliciosa», afirmó Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive. «Los datos desbordados pueden diseñarse para sobrescribir datos críticos del programa, como un puntero de función o el puntero de la tabla de funciones virtuales (vtable) de un objeto».

Cuando la aplicación intenta posteriormente usar este puntero dañado, en lugar de llamar a una función legítima, redirige el flujo de ejecución del programa a una dirección de memoria controlada por el atacante. Esto le permite ejecutar código arbitrario (shellcode) en el sistema objetivo.

Dos vulnerabilidades con el puntaje CVSS más alto en la actualización de este mes se relacionan con una falla de escalada de privilegios en el componente de gráficos de Microsoft ( CVE-2025-49708 , puntaje CVSS: 9.9) y una omisión de una característica de seguridad en ASP.NET ( CVE-2025-55315 , puntaje CVSS: 9.9).

Si bien la explotación de CVE-2025-55315 requiere que un atacante esté primero autenticado, se puede abusar de esta vulnerabilidad para evadir de forma encubierta los controles de seguridad y llevar a cabo acciones maliciosas introduciendo de contrabando una segunda solicitud HTTP maliciosa dentro del cuerpo de su solicitud autenticada inicial.

«Una organización debe priorizar la aplicación de parches a esta vulnerabilidad porque invalida la promesa de seguridad fundamental de la virtualización», explicó McCarthy con respecto a CVE-2025-49708, caracterizándola como una falla de alto impacto que provoca un escape total de la máquina virtual (VM).

Una explotación exitosa significa que un atacante que obtiene acceso, incluso con privilegios bajos, a una sola máquina virtual invitada no crítica puede vulnerar y ejecutar código con privilegios de SISTEMA directamente en el servidor host subyacente. Esta falla de aislamiento significa que el atacante puede acceder, manipular o destruir datos en todas las demás máquinas virtuales que se ejecutan en ese mismo host, incluyendo controladores de dominio, bases de datos o aplicaciones de producción de misión crítica.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, entre ellas: