El martes de Parches de junio de 2025 de Microsoft incluye actualizaciones de
seguridad para
67 vulnerabilidades, incluyendo una vulnerabilidad explotada activamente y otra divulgada
públicamente.
Estos parches también corrigen once vulnerabilidades «críticas»: ocho
de ellas son vulnerabilidades de ejecución remota de código y dos son errores
de elevación de privilegios.
El número de errores en cada categoría de vulnerabilidad se detalla a
continuación:
- 14 Vulnerabilidades de Elevación de Privilegios
- 3 Vulnerabilidades de Omisión de Funciones de Seguridad
- 25 Vulnerabilidades de Ejecución Remota de Código
- 17 Vulnerabilidades de Divulgación de Información
- 6 Vulnerabilidades de Denegación de Servicio
- 2 Vulnerabilidades de Suplantación de Identidad
Este recuento no incluye las vulnerabilidades de Mariner, Microsoft Edge y
Power Automate corregidas a principios de este mes. Los parches se suman a 13
deficiencias abordadas por la compañía en su navegador de borde basado en
Chromium desde el lanzamiento de la actualización del martes del parche del
mes pasado.
Dos vulnerabilidades Zero-Day
El martes de parches de este mes corrige una vulnerabilidad de día cero
explotada activamente y una vulnerabilidad divulgada públicamente.
Microsoft clasifica una vulnerabilidad de día cero como divulgada públicamente
o explotada activamente mientras no haya una solución oficial disponible.
La vulnerabilidad Zero-Day explotada activamente es CVE-2025-33053 (Ejecución Remota de Código en Web Distributed Authoring and
Versioning – WEBDAV).
Microsoft corrigió esta vulnerabilidad de ejecución remota de código
descubierta por Check Point Research. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante
remoto ejecutar código arbitrario en el sistema afectado. El aviso de
Microsoft también indica que el usuario debe hacer clic en una URL de WebDav
especialmente diseñada para explotar la vulnerabilidad.
Check Point Research explica que CVE-2025-33053
fue explotada en ataques de día cero por un grupo APT
llamado
«Stealth Falcon» (aka FruityArmor). Los actores de amenazas utilizaron una técnica no revelada previamente para
ejecutar archivos alojados en un servidor WebDAV que controlaban, manipulando
el directorio de trabajo de una herramienta legítima integrada en Windows.
La explotación activa de CVE-2025-33053 ha llevado a la Agencia de Seguridad
de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a
agregarlo al catálogo de vulnerabilidades explotadas conocidas (KEV).
La vulnerabilidad Zero-Day divulgada públicamente es
CVE-2025-33073 (Elevación de privilegios en el cliente SMB de Windows). Microsoft corrige una falla en SMB de Windows que permite a los atacantes
obtener privilegios de SYSTEM en dispositivos vulnerables.
«Un control de acceso inadecuado en SMB de Windows permite a un atacante
autorizado elevar privilegios en una red», explica Microsoft.
«Para explotar esta vulnerabilidad, un atacante podría ejecutar un script
malicioso especialmente diseñado para obligar a la máquina víctima a
conectarse de nuevo al sistema de ataque mediante SMB y autenticarse. Esto
podría resultar en una elevación de privilegios», añade Microsoft.
Microsoft no ha compartido cómo se divulgó la falla. Sin embargo,
Born City informa
que DFN-CERT (Equipo de Respuesta a Emergencias Informáticas de la Red de
Investigación Alemana) comenzó a difundir advertencias de RedTeam Pentesting
sobre la falla esta semana.
Si bien ya hay una actualización disponible, la falla se puede mitigar
implementando la firma SMB del lado del servidor mediante la
directiva de grupo.
La vulnerabilidad más severa resuelta por Microsoft es una falla de
escalamiento de privilegios en Power Automate (CVE-2025-47966, CVSS:
9.8) que podría permitir a un atacante elevar los privilegios sobre una red.
Sin embargo, no se requiere acción del cliente para mitigar el error.
Otra vulnerabilidad de la nota incluye la elevación de fallas de privilegios
en el controlador de Common Log File System – CLFS (CVE-2025-32713, CVSS 7.8), Windows Netlogon (CVE-2025-33070, CVSS 8.1), y Windows SMB Client (CVE-2025-33073, CVSS 8.8), así como un RCE crítico en Windows KDC Proxy Service (CVE-2025-33071, CVSS 8.1).
«En los últimos meses, el controlador de CLFS
se ha convertido
en
un enfoque consistente
tanto para los actores de amenaza como para los investigadores de seguridad
debido a su explotación en múltiples operaciones de ransomware», dijo Ben McCarthy, ingeniero de seguridad de Immersive.
Actualizaciones recientes de otras empresas
Otros proveedores que publicaron actualizaciones o avisos en junio de 2025
incluyen:
-
Adobe
released security updates
for InCopy, Experience Manager, Commerce, InDesign, Substance 3D Sampler,
Acrobat Reader, and Substance 3D Painter. -
Cisco
released patches
for three vulnerabilities with public exploit code in its Identity Services
Engine (ISE) and Customer Collaboration Platform (CCP) products. -
Fortinet
released security updates
for an OS command (‘OS Command Injection’) vulnerability in FortiManager,
FortiAnalyzer & FortiAnalyzer-BigData products. -
Google’s
June 2025 security updates
for Android fix numerous vulnerabilities. Google also fixed an
actively exploited Google Chrome zero-day flaw. -
Hewlett Packard Enterprise (HPE) issued
security updates
to fix eight vulnerabilities impacting StoreOnce, -
Ivanti
released security updates
to fix three high-severity hardcoded key vulnerabilities in Workspace
Control (IWC). -
Qualcomm
released security updates
for three zero-day vulnerabilities in the Adreno Graphics Processing Unit
(GPU) driver that are exploited in targeted attacks. -
Roundcube
released security updates
for a critical remote code execution (RCE) flaw with a public exploit that
is now exploited in attacks. -
SAP
releases security updates
for multiple products, including a critical missing authorization check in
SAP NetWeaver Application Server for ABAP.
Fuente:
BC