Microsoft corrigió
56 vulnerabilidades de seguridad de Windows, incluyendo tres nuevos ataques Zero-Day con uno de ellos explotado activamente.
Para obtener más información sobre las actualizaciones no relacionadas con la seguridad publicadas hoy, puede revisar nuestros artículos dedicados a las actualizaciones acumulativas KB5072033 y KB5071417 de Windows 11.
A continuación, se detalla el número de errores en cada categoría de vulnerabilidad:
- 28 vulnerabilidades de elevación de privilegios
- 19 vulnerabilidades de ejecución remota de código
- 4 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de denegación de servicio
- 2 vulnerabilidades de suplantación de identidad
En total, Microsoft ha abordado 1.275 CVE en 2025, según datos recopilados por
Fortra. Satnam Narang, de Tenable, afirmó que 2025 también marca el segundo
año consecutivo en el que el fabricante de Windows ha parcheado más de 1.000
CVE.
Esta actualización se suma a las
17 deficiencias
que el gigante tecnológico corrigió en su navegador Edge basado en Chromium
desde el lanzamiento de la actualización del martes de parches de noviembre de
2025. Esta también consiste en una vulnerabilidad de suplantación de identidad
en Edge para iOS (CVE-2025-62223, CVSS 4,3).
La vulnerabilidad que se ha explotado activamente es
CVE-2025-62221
(CVSS: 7,8), un uso posterior a la liberación en el controlador de minifiltros
de Windows Cloud Files que podría permitir a un atacante autorizado elevar
privilegios localmente y obtener permisos del sistema. El minifiltro de
archivos en la nube es utilizado por OneDrive, Google Drive, iCloud y otros,
aunque, al ser un componente esencial de Windows, seguiría presente en un
sistema sin ninguna de esas aplicaciones instaladas.
Actualmente se desconoce cómo se está abusando de la vulnerabilidad en la
práctica ni en qué contexto, pero para explotarla con éxito es necesario que
un atacante obtenga acceso a un sistema susceptible por otros medios.
Según Mike Walters, presidente y cofundador de Action1, un atacante podría
obtener acceso con privilegios reducidos mediante métodos como phishing,
exploits de navegadores web u otra falla conocida de ejecución remota de
código, y luego combinarla con CVE-2025-62221 para tomar el control del host.
Con este acceso, el atacante podría implementar componentes del kernel o
abusar de controladores firmados para evadir las defensas y mantener la
persistencia, y podría ser utilizado como arma para lograr una vulneración de
dominio completo cuando se combina con escenarios de robo de credenciales.
La explotación de CVE-2025-62221 ha llevado a CISA a añadirla al catálogo de
Vulnerabilidades Explotadas Conocidas (KEV).
Las dos vulnerabilidades de día cero restantes se enumeran a continuación:
-
CVE-2025-54100
(CVSS: 7,8): Una vulnerabilidad de inyección de comandos en Windows
PowerShell que permite a un atacante no autorizado ejecutar código
localmente.
«Se trata de una falla de inyección de comandos en la forma en que
Windows PowerShell procesa el contenido web»,
declaró Alex Vovk de Action1.
«Permite a un atacante no autenticado ejecutar código arbitrario en el
contexto de seguridad de un usuario que ejecuta un comando de PowerShell
manipulado, como Invoke-WebRequest«.
La amenaza se vuelve significativa cuando esta vulnerabilidad se combina con
patrones de ataque comunes. Por ejemplo, un atacante puede usar ingeniería
social para persuadir a un usuario o administrador a ejecutar un fragmento de
PowerShell mediante Invoke-WebRequest, lo que permite que un servidor remoto
devuelva contenido manipulado que activa la falla de análisis y conduce a la
ejecución de código y la implementación de implantes.
Microsoft ha realizado un cambio que muestra una advertencia cuando PowerShell usa ‘Invoke-WebRequest’ y solicita al usuario que agregue -UseBasicParsing para evitar la ejecución del código.
-
CVE-2025-64671
(CVSS: 8,4): Una vulnerabilidad de inyección de comandos en GitHub Copilot
para JetBrains que permite a un atacante no autorizado ejecutar código
localmente.
Cabe destacar que CVE-2025-64671 surge tras un conjunto más amplio de
vulnerabilidades de seguridad, denominadas colectivamente
IDEsaster, que fue revelado recientemente por el investigador de seguridad Ari
Marzouk. Los problemas surgen como resultado de la adición de capacidades de
agente a un entorno de desarrollo integrado (IDE), lo que expone nuevos
riesgos de seguridad en el proceso.
Estos ataques aprovechan las inyecciones inmediatas contra los agentes de
inteligencia artificial (IA) integrados en los IDE y las combinan con la capa
base del IDE para provocar la divulgación de información o la ejecución de
comandos.
«Esto utiliza una cadena de ataque ‘antigua’ que utiliza una herramienta
vulnerable, por lo que no forma parte exactamente de la cadena de ataque
novedosa de IDEsaster», declaró Marzouk.
«Específicamente, una herramienta vulnerable de ‘ejecución de comandos’ que
permite eludir la lista de permitidos configurada por el usuario».
La vulnerabilidad indica que es posible ejecutar código en los hosts afectados
engañando al LLM para que ejecute comandos que eludan las barreras de
seguridad y añadiendo instrucciones en la configuración de ‘aprobación
automática’ del usuario.
«Esto se puede lograr mediante la ‘inyección de mensajes cruzados’, que
consiste en que el mensaje no es modificado por el usuario, sino por los
agentes del LLM, quienes crean sus propios mensajes basándose en el contenido
de los archivos o datos recuperados de un servidor de Protocolo de Contexto de
Modelo (MCP), que ha ganado popularidad entre los LLM basados en agentes».
Fuente: THN