Por primera vez en 11 meses, las actualizaciones del martes de Parches de
Microsoft no incluyeron correcciones para vulnerabilidades activamente
explotadas.
El parche incluye
actualizaciones de seguridad para 137 defectos, incluida
una vulnerabilidad de día cero divulgada públicamente en Microsoft SQL
Server. Se corrigen
catorce vulnerabilidades «críticas», diez de las cuales son
vulnerabilidades de ejecución de código remoto, una es una divulgación de información y dos son fallas de ataque de canales
laterales AMD.
El número de errores en cada categoría de vulnerabilidad se enumera a
continuación:
- 53 Elevación de vulnerabilidades de privilegios
- 8 Vulnerabilidades de derivación de características de seguridad
- 41 Vulnerabilidades de ejecución de código remoto
- 18 Vulnerabilidades de divulgación de información
- 6 Vulnerabilidades de denegación de servicio
- 4 Vulnerabilidades de suplantación
Este recuento no incluye CVE no pertenecientes a Microsoft que afectan a
Visual Studio, AMD y su navegador Edge basado en Chromium. De estas, 10 se consideran críticas y las restantes, importantes en cuanto a su
gravedad.
Para obtener más información sobre las actualizaciones que no son de
seguridad, se pueden revisar los artículos dedicados en las
actualizaciones acumulativas de Windows 11 KB5062553 y KB5062552
y la
actualización acumulativa de Windows 10 KB5062554.
La falla más crítica corregida por Microsoft como parte de las actualizaciones
de este mes se refiere a un caso de ejecución remota de código que afecta a
SPNEGO Extended Negotiation (NEGOEX). Identificada como
CVE-2025-47981, tiene una puntuación CVSS de 9,8. Un atacante podría explotar esta
vulnerabilidad enviando un mensaje malicioso al servidor, lo que podría
provocar la ejecución remota de código.
Microsoft indicó que el problema solo afecta a equipos cliente Windows con
Windows 10, versión 1607 y posteriores, debido a que el objeto de directiva de grupo (GPO)
«Seguridad de red: Permitir que las solicitudes de autenticación PKU2U a
este equipo utilicen identidades en línea»
está habilitado de forma predeterminada.
Como siempre, los RCE son perjudiciales, pero los primeros análisis
sugieren que esta vulnerabilidad podría ser susceptible de ser utilizada
como un gusano,
el tipo de vulnerabilidad que podría aprovecharse para la autopropagación de
malware y hacer que muchos revivan el trauma del incidente de WannaCry,
declaró Benjamin Harris, fundador y director ejecutivo de watchTowr.
Microsoft es claro en cuanto a los requisitos previos: no se requiere
autenticación, solo acceso a la red, y la propia Microsoft cree que la
explotación es «más probable». No nos engañemos: si el sector privado ha detectado esta vulnerabilidad,
sin duda ya está en el radar de cualquier atacante con un mínimo de malicia.
Los defensores deben abandonar todo, aplicar parches rápidamente y rastrear
los sistemas expuestos.
Otras vulnerabilidades importantes incluyen fallas de ejecución remota de código que afectan al Servicio Proxy KDC de Windows (CVE-2025-49735, CVSS 8.1), Windows Hyper-V (CVE-2025-48822, CVSS 8.6), y Microsoft Office (CVE-2025-49695, CVE-2025-496966, y CVE-2025-49697, CVSS 8.4).
«Lo que hace significativa a CVE-2025-49735 es la exposición de la red, sin
requerir privilegios ni interacción del usuario. A pesar de la alta
complejidad de su ataque, esta vulnerabilidad facilita la vulneración remota
previa a la autorización, lo que resulta especialmente atractivo para APT y
actores estatales», afirmó Ben McCarthy, ingeniero jefe de ciberseguridad de
Immersive.
El atacante debe superar una condición de carrera (una falla de sincronización
donde la memoria se libera y reasigna en una ventana específica), lo que
significa que la fiabilidad es baja por ahora. Sin embargo, estos problemas
pueden aprovecharse con técnicas como la limpieza de la pila, lo que facilita
su explotación.
Por otra parte, la actualización soluciona cinco omisiones de funciones de seguridad en BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804, y CVE-2025-48818, CVSS 6.8) que podrían permitir a un atacante con acceso físico al dispositivo obtener datos cifrados.
Un atacante podría explotar esta vulnerabilidad cargando un archivo WinRE.wim
mientras el volumen del sistema operativo está desbloqueado, lo que otorgaría
acceso a los datos cifrados de BitLocker, declaró Microsoft sobre
CVE-2025-48804.
También cabe destacar que el 8 de julio de 2025 marca oficialmente el fin de
SQL Server 2012, que ya no recibirá parches de seguridad en el futuro.
Vulnerabilidad en Microsoft SQL Server
La vulnerabilidad, que se ha dado a conocer públicamente, es una falla de
divulgación de información en Microsoft SQL Server (CVE-2025-49719, puntuación CVSS: 7,5) que podría permitir a un atacante no autorizado
filtrar memoria no inicializada.
Microsoft fija un defecto en Microsoft SQL Server que podría permitir que un
atacante remoto y no autenticado acceda a datos de la memoria no inicializada.
«La validación de entrada inadecuada en SQL Server permite a un atacante no
autorizado divulgar información en una red», explica Microsoft.
Los administradores pueden solucionar la falla instalando la última versión
de Microsoft SQL Server y el controlador Microsoft Ole DB 18 o
19.
«Un atacante podría no obtener información valiosa, pero con suerte,
persistencia o un manejo astuto del exploit, el premio podría ser material
de claves criptográficas u otras joyas de la corona de SQL Server», declaró Adam Barnett, ingeniero de software principal de Rapid7.
Mike Walters, presidente y cofundador de Action1, afirmó que la falla
probablemente se deba a una validación de entrada incorrecta en la gestión de
memoria de SQL Server, lo que permite el acceso a memoria no inicializada.
«Como resultado, los atacantes podrían recuperar restos de datos
confidenciales, como credenciales o cadenas de conexión. Afecta tanto al
motor de SQL Server como a las aplicaciones que utilizan controladores OLE
DB», añadió Walters.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones
de seguridad en las últimas dos semanas para corregir varias vulnerabilidades,
entre ellas:
- Adobe
- AMD
- Atlassian
- Bitdefender
-
Broadcom
(incluye VMware) - Cisco
- Citrix
- D-Link
- Dell
- Drupal
- F5
- Fortinet
- Fortra
- Gigabyte
- GitLab
- Google Chrome
- Google Cloud
- Grafana
- Hikvision
- Hitachi Energy
- HP
-
HP Enterprise
(incluye Aruba Networking) - IBM
- Intel
- Ivanti
- Jenkins
- Juniper Networks
- Lenovo
-
Linux: AlmaLinux,
Alpine Linux,
Amazon Linux,
Arch Linux,
Debian,
Gentoo,
Oracle Linux,
Mageia,
Red Hat, Rocky Linux,
SUSE, y
Ubuntu - MediaTek
- Mitsubishi Electric
- MongoDB
- Moxa
- Mozilla Thunderbird
- NVIDIA
- OPPO
- Palo Alto Networks
- Progress Software
- Qualcomm
- Ricoh
- Ruckus Wireless
- Samsung
- SAP
- Schneider Electric
- Siemens
- Splunk
- Supermicro
- Veeam
- WordPress
- Zimbra
- Zoom
Fuente:
THN