Microsoft publicó ayer martes parches para
63 nuevas vulnerabilidades
identificadas en su software, incluyendo
una que ya ha sido explotada activamente.
De las 63 vulnerabilidades, cuatro se consideran críticas y 59 importantes.
Veintinueve de estas vulnerabilidades están relacionadas con escalamiento de
privilegios, seguidas de 16 de ejecución remota de código, 11 de divulgación
de información, tres de denegación de servicio (DoS), dos de omisión de
funciones de seguridad y dos de suplantación de identidad.
Estos parches se suman a las
27 vulnerabilidades
que Microsoft solucionó en su navegador Edge basado en Chromium desde la
actualización del martes de parches de octubre de 2025.
Microsoft También ha publicado la actualización
KB5068781, la primera actualización de seguridad extendida para Windows 10 desde que
el sistema operativo dejó de recibir soporte el mes pasado. Tanto los
consumidores como las empresas pueden suscribirse a las actualizaciones de
seguridad extendidas (ESU) pagando U$S30, que siguen proporcionando
actualizaciones de seguridad durante un máximo de tres años, según el tipo de
cuenta.
La vulnerabilidad Zero-Day que se ha identificado como explotada es
CVE-2025-62215
(CVSS: 7.0), una vulnerabilidad de escalamiento de privilegios en el kernel
de Windows.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de
Respuesta de Seguridad de Microsoft (MSRC) fueron los responsables de
descubrir e informar sobre el problema.
«La ejecución simultánea mediante recursos compartidos con una
sincronización inadecuada (una condición de carrera) en el kernel de Windows
permite que un atacante autorizado eleve privilegios localmente», indicó la compañía en un comunicado.
Dicho esto, para que la explotación tenga éxito, el atacante debe haber
obtenido acceso al sistema para ganar la condición de carrera. Una vez que se
cumple este criterio, podría obtener privilegios de SYSTEM.
«Un atacante con acceso local con privilegios limitados puede ejecutar una
aplicación especialmente diseñada que intente repetidamente provocar esta
condición de carrera», afirmó Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.
El objetivo es lograr que múltiples hilos interactúen con un recurso
compartido del kernel de forma no sincronizada, confundiendo la gestión de
memoria del kernel y provocando que libere el mismo bloque de memoria dos
veces. Esta doble liberación exitosa corrompe el montón del kernel,
permitiendo al atacante sobrescribir memoria y secuestrar el flujo de
ejecución del sistema.
Actualmente se desconoce cómo y quién explota esta vulnerabilidad, pero se
estima que se utiliza como parte de una actividad posterior a la explotación
para escalar privilegios tras obtener acceso inicial por otros medios, como
ingeniería social, phishing o la explotación de otra vulnerabilidad, según
declaró Satnam Narang, ingeniero sénior de investigación de Tenable.
«Cuando se combina con otros errores, esta condición de carrera del kernel
es crítica: una ejecución remota de código (RCE) o una fuga del entorno
aislado (sandbox) puede proporcionar la ejecución de código local necesaria
para convertir un ataque remoto en una toma de control del sistema, y un
acceso inicial con privilegios limitados puede escalarse para extraer
credenciales y moverse lateralmente»,
afirmó Mike Walters, presidente y cofundador de Action1, en un comunicado.
-
También se ha corregido, como parte de las actualizaciones, una
vulnerabilidad crítica de desbordamiento de búfer basada en montón en el
componente de gráficos de Microsoft (CVE-2025-60724 (CVSS: 9.8) que podría dar lugar a la ejecución remota de código en
GDI+. -
CVE-2025-62199
(CVSS: 7.8): es una vulnerabilidad de ejecución remota de código (RCE) en
Microsoft Office. Se clasificó como crítica y se evaluó como de «baja
probabilidad de explotación» según el
Índice de Exploitabilidad de Microsoft. Un atacante podría aprovechar esta vulnerabilidad mediante ingeniería
social, enviando un archivo malicioso de Microsoft Office a la víctima. Si
la explotación tiene éxito, el atacante obtendría privilegios de ejecución
de código. -
CVE-2025-62205
y
CVE-2025-62216: dos vulnerabilidades adicionales de ejecución remota de código (RCE)
obtuvieron una puntuación CVSSv3 de 7.8 y se clasificaron como importantes.
Ambas vulnerabilidades se evaluaron como de «Poca probabilidad de
explotación». A diferencia de la vulnerabilidad CVE-2025-62199, el panel de
vista previa no es un vector de ataque para estas dos vulnerabilidades. -
CVE-2025-60719,
CVE-2025-62213
y
CVE-2025-62217
son vulnerabilidades de nivel de protección (EoP) que afectan al controlador
de función auxiliar para WinSock en Microsoft Windows. Las tres obtuvieron
una puntuación CVSSv3 de 7.0, se clasificaron como importantes y se
evaluaron como de «Alta probabilidad de explotación». Un atacante local
autenticado podría aprovechar estas vulnerabilidades para obtener
privilegios de administrador (SYSTEM).
Fuente:
THN