Ayer martes, Microsoft publicó correcciones para 63 fallas de seguridad que
afectan a sus productos de software, incluidas
4 Zero-Day y dos vulnerabilidades que han sido explotadas
activamente.
De las 63 vulnerabilidades, tres están clasificadas como críticas, 57
como importantes, una como moderada y dos como de baja gravedad. Esto se suma
a las 23 fallas que Microsoft abordó en su navegador Edge basado en Chromium
desde el lanzamiento de la actualización del martes de parches del mes pasado.
A continuación se muestra la cantidad de errores en cada categoría de
vulnerabilidad:
- 19 vulnerabilidades de elevación de privilegios
- 2 vulnerabilidades de omisión de funciones de seguridad
- 22 vulnerabilidades de ejecución remota de código
- 1 vulnerabilidad de divulgación de información
- 9 vulnerabilidades de denegación de servicio
- 3 vulnerabilidades de suplantación de identidad
seguridad publicadas hoy, puede revisar nuestros artículos dedicados a las actualizaciones acumulativas KB5051987 y KB5051989 de Windows 11
y la
actualización KB5051974 de Windows 10.
La actualización corrige dos fallas explotadas activamente:
-
CVE-2025-21391
(CVSS: 7,1): vulnerabilidad de elevación de privilegios en el almacenamiento
de Windows.
«Esta vulnerabilidad no permite la divulgación de ninguna información
confidencial, pero podría permitir que un atacante elimine datos que
podrían incluir datos que resulten en la no disponibilidad del
servicio». -
CVE-2025-21418
(CVSS: 7,8): vulnerabilidad de elevación de privilegios en el controlador de
funciones auxiliares de Windows para WinSock. Se refiere a un caso de
escalamiento de privilegios en AFD.sys que podría ser explotado para
lograr SYSTEM.
Mike Walters, presidente y cofundador de Action1,
señaló
que la vulnerabilidad CVE-2025-21391 podría encadenarse con otras
fallas para escalar privilegios y realizar acciones posteriores que pueden
complicar los esfuerzos de recuperación y permitir que los actores de amenazas
cubran sus huellas eliminando artefactos forenses cruciales.
Vale la pena señalar que Gen Digital
reveló en agosto pasado
que el grupo Lazarus, vinculado a Corea del Norte, estaba utilizando como arma
una falla similar en AFD.sys (CVE-2024-38193). En febrero de 2024, el gigante tecnológico también detectó una falla de
escalamiento de privilegios en el kernel de Windows (CVE-2024-21338) que
afectaba al controlador de AppLocker (appid.sys) y que también fue
explotada activamente.
Estas cadenas de ataque se destacan porque van más allá de un ataque
tradicional Bring Your Own Vulnerable Driver (BYOVD) al aprovechar una falla
de seguridad en un controlador nativo de Windows, lo que evita la necesidad de
introducir otros controladores en los entornos de destino.
Actualmente no se sabe si el abuso de CVE-2025-21418 también está vinculado al
Grupo Lazarus. La Agencia de Seguridad de Infraestructura y Ciberseguridad de
Estados Unidos
(CISA) ha añadido ambas fallas
a su catálogo de vulnerabilidades explotadas conocidas (KEV), y exige que las agencias federales apliquen los parches antes del 4 de
marzo de 2025.
Los días cero revelados públicamente son:
-
CVE-2025-21194 (CVSS: 7,1): Vulnerabilidad de omisión de características de
seguridad de Microsoft Surface. Esta falla es una vulnerabilidad de
hipervisor que permite que los ataques omitan la UEFI y comprometan el
kernel seguro. Si bien Microsoft no compartió muchos detalles sobre la
falla, es probable que esté relacionada con las fallas
PixieFail
reveladas por los investigadores el mes pasado (conjunto de nueve
vulnerabilidades que afectan la pila de protocolos de red IPv6 de EDK II de
Tianocore, que es utilizada por Microsoft Surface y los productos de
hipervisor de la compañía) -
CVE-2025-21377 (CVSS: 6,5): Vulnerabilidad de suplantación de hash NTLM. Microsoft
ha corregido un error divulgado públicamente que expone los hashes NTLM de
un usuario de Windows, lo que permite que un atacante remoto inicie sesión
como el usuario. Es probable que actúe como otras fallas de divulgación de
hash NTLM, donde simplemente interactuar con un archivo en lugar de abrirlo
podría hacer que Windows se conecte de forma remota a un recurso compartido
remoto. Al hacerlo, una negociación NTLM pasa el hash del usuario al
servidor remoto, que el atacante puede recopilar.
La vulnerabilidad más grave que Microsoft ha abordado en la actualización
de este mes es CVE-2025-21198
(CVSS: 9,0), una vulnerabilidad de ejecución remota de código (RCE) en el
paquete de computación de alto rendimiento (HPC). «Un atacante podría explotar esta vulnerabilidad enviando una solicitud
HTTPS especialmente diseñada al nodo principal o al nodo de computación
Linux de destino, lo que les otorgaría la capacidad de realizar RCE en otros
clústeres o nodos conectados al nodo principal de destino», afirmó Microsoft.
También cabe mencionar otra vulnerabilidad de RCE (CVE-2025-21376, CVSS: 8,1) que afecta al protocolo LDAP de Windows y que permite a un
atacante enviar una solicitud especialmente diseñada y ejecutar código
arbitrario. Sin embargo, para explotar con éxito la vulnerabilidad, el actor
de la amenaza debe superar una condición de carrera.
«Dado que LDAP es parte integral de Active Directory, que sustenta la
autenticación y el control de acceso en entornos empresariales, una
vulneración podría provocar movimientos laterales, escalamiento de
privilegios y brechas generalizadas en la red», afirmó Ben McCarthy, ingeniero principal de ciberseguridad de Immersive
Labs.
En otro aspecto, la actualización también resuelve una vulnerabilidad de
divulgación de hash NTLMv2 (CVE-2025-21377, CVSS: 6,5) que, si se explota con éxito, podría permitir que un atacante se
autentique como el usuario objetivo.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones
de seguridad durante las últimas semanas para corregir varias
vulnerabilidades, entre ellas:
- Adobe
- Advantive VeraCore
- Amazon Web Services
- AMD
- Apple
- Arm
- ASUS
- AutomationDirect
- Bosch
- Canon
- Cisco
- CODESYS
- D-Link
- Dell
- Devolutions Remote Desktop Manager
- Drupal
- F5
- Fortinet
- GitLab
-
Google
Android
and
Pixel - Google Chrome
- Google Cloud
- Google Wear OS
- HMS Networks
- HP
-
HP Enterprise
(including Aruba Networking) - IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
-
Linux distributions
Amazon Linux,
Debian,
Oracle Linux,
Red Hat, Rocky Linux,
SUSE, and
Ubuntu - MediaTek
- Mitel
- Mitsubishi Electric
-
Mozilla
Firefox, Firefox ESR, and Thunderbird - NETGEAR
- NVIDIA
- OpenSSL
- Palo Alto Networks
- Progress Software
- QNAP
- Qualcomm
- Rockwell Automation
- Salesforce
- Samsung
- SAP
- Schneider Electric
- Siemens
- SolarWinds
- SonicWall
- Synology
- Trimble Cityworks
- Veeam
- Veritas
- Zimbra
- Zoom
- Zyxel
Fuente:
BC