Microsoft inició 2025 con un nuevo conjunto de parches para un total de 161 vulnerabilidades de seguridad en toda su cartera de software, incluidos tres días cero que han sido explotados activamente en ataques.
De los 161 defectos, 11 están clasificados como Críticos y 149 como Importantes en cuanto a su gravedad. A otra falla, un CVE que no es de Microsoft relacionado con una omisión de arranque seguro de Windows (CVE-2024-7344), no se le ha asignado ninguna gravedad. Según el Iniciativa de día cerola actualización marca la mayor cantidad de CVE abordadas en un solo mes desde al menos 2017.
Las correcciones se suman a siete vulnerabilidades el fabricante de Windows abordó en su navegador Edge basado en Chromium desde el lanzamiento de las actualizaciones del martes de parches de diciembre de 2024.
Entre los parches lanzados por Microsoft se destaca un trío de fallas en Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334y CVE-2025-21335puntuaciones CVSS: 7,8) que, según la empresa, ha sido objeto de explotación activa en la naturaleza –
“Un atacante que explotara con éxito esta vulnerabilidad podría obtener privilegios del SISTEMA”, dijo la compañía en un aviso sobre las tres vulnerabilidades.
Como es habitual, hasta el momento se desconoce cómo se aprovechan estas deficiencias y en qué contexto. Microsoft tampoco menciona la identidad de los actores de amenazas que los utilizan como armas ni la escala de los ataques.
Pero dado que son errores de escalada de privilegios, es muy probable que se utilicen como parte de una actividad posterior al compromiso, donde un atacante ya obtuvo acceso a un sistema objetivo por algún otro medio, señaló Satnam Narang, ingeniero senior de investigación de Tenable. .
“El proveedor de servicios de virtualización (VSP) reside en la partición raíz de una instancia de Hyper-V y proporciona soporte de dispositivo sintético a las particiones secundarias a través del bus de máquina virtual (VMBus): es la base de cómo Hyper-V permite que la partición secundaria engañarse a sí mismo haciéndole creer que es una computadora real”, dijo Adam Barnett, ingeniero de software principal de Rapid7, a The Hacker News.
“Dado que todo esto es un límite de seguridad, tal vez sea sorprendente que Microsoft no haya reconocido ninguna vulnerabilidad VSP de integración del kernel NT de Hyper-V hasta hoy, pero no será del todo sorprendente si ahora surgen más”.
La explotación de Windows Hyper-V NT Kernel Integration VSP también ha resultado en la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregando a sus vulnerabilidades explotadas conocidas (KEV) catálogo, lo que requiere que las agencias federales apliquen las correcciones antes del 4 de febrero de 2025.
Por otra parte, Redmond ha advertido que cinco de los errores son de conocimiento público:
Vale la pena señalar que CVE-2025-21308, que podría provocar una divulgación inadecuada de un hash NTLM, fue marcado previamente por 0patch como una derivación para CVE-2024-38030. Los microparches para la vulnerabilidad se lanzaron en octubre de 2024.
Por otro lado, los tres problemas de Microsoft Access se han atribuido a Sin parches.aiuna plataforma de descubrimiento de vulnerabilidades guiada por IA. Acción1 también anotado que si bien las fallas se clasifican como vulnerabilidades de ejecución remota de código (RCE), su explotación requiere que un atacante convenza al usuario de que abra un archivo especialmente diseñado.
La actualización también se destaca por solucionar cinco fallas de gravedad crítica:
- CVE-2025-21294 (Puntuación CVSS: 8,1) – Vulnerabilidad de ejecución remota de código de autenticación implícita de Microsoft
- CVE-2025-21295 (Puntuación CVSS: 8,1) – Vulnerabilidad de ejecución remota de código del mecanismo de seguridad de negociación extendida SPNEGO (NEGOEX)
- CVE-2025-21298 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código de vinculación e incrustación de objetos de Windows (OLE)
- CVE-2025-21307 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código del controlador de transporte de multidifusión confiable de Windows (RMCAST)
- CVE-2025-21311 (Puntuación CVSS: 9,8) – Vulnerabilidad de elevación de privilegios en Windows NTLM V1
“En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un correo electrónico especialmente diseñado a la víctima”, dijo Microsoft en su boletín CVE-2025-21298.
“La explotación de la vulnerabilidad podría implicar que una víctima abra un correo electrónico especialmente diseñado con una versión afectada del software Microsoft Outlook, o que la aplicación Outlook de la víctima muestre una vista previa de un correo electrónico especialmente diseñado. Esto podría resultar en que el atacante ejecute código remoto en el servidor de la víctima. máquina.”
Para protegerse contra la falla, se recomienda que los usuarios lean los mensajes de correo electrónico en formato de texto sin formato. También recomienda el uso de Microsoft Outlook para reducir el riesgo de que los usuarios abran archivos RTF de fuentes desconocidas o que no son de confianza.
“La vulnerabilidad CVE-2025-21295 en el mecanismo de seguridad SPNEGO Extended Negotiation (NEGOEX) permite a atacantes no autenticados ejecutar código malicioso de forma remota en los sistemas afectados sin interacción del usuario”, dijo Saeed Abbasi, gerente de investigación de vulnerabilidades en Qualys Threat Research Unit.
“A pesar de la alta complejidad del ataque (AC:H), una explotación exitosa puede comprometer completamente la infraestructura empresarial al socavar una capa central del mecanismo de seguridad, lo que lleva a posibles violaciones de datos. Debido a que no se requieren credenciales válidas, el riesgo de un impacto generalizado es significativo, lo que destaca la necesidad de parches inmediatos y mitigación vigilante”.
En cuanto a CVE-2025-21294, Microsoft dijo que un mal actor podría explotar con éxito esta vulnerabilidad conectándose a un sistema que requiere autenticación implícita, activando una condición de carrera para crear un escenario de uso después de la liberación y luego aprovechándolo para ejecutar código arbitrario. .
“Microsoft Digest es la aplicación responsable de realizar la autenticación inicial cuando un servidor recibe la primera respuesta de desafío de un cliente”, dijo Ben Hopkins, ingeniero de ciberseguridad de Immersive Labs. “El servidor funciona verificando que el cliente aún no haya sido autenticado. CVE-2025-21294 implica la explotación de este proceso para que los atacantes logren la ejecución remota de código (RCE)”.
Entre la lista de vulnerabilidades que han sido etiquetadas como con mayor probabilidad de ser explotadas se encuentra una falla de divulgación de información que afecta a Windows BitLocker (CVE-2025-21210puntuación CVSS: 4,2) que podría permitir la recuperación de imágenes de hibernación en texto sin formato, suponiendo que un atacante pueda obtener acceso físico al disco duro de la máquina víctima.
“Las imágenes de hibernación se utilizan cuando una computadora portátil entra en modo de suspensión y contienen el contenido que estaba almacenado en la RAM en el momento en que el dispositivo se apagó”, dijo Kev Breen, director senior de investigación de amenazas en Immersive Labs.
“Esto presenta un impacto potencial significativo ya que la RAM puede contener datos confidenciales (como contraseñas, credenciales y PII) que pueden haber estado en documentos abiertos o sesiones de navegador y todos pueden recuperarse con herramientas gratuitas a partir de archivos de hibernación”.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
About the Author
