Microsoft publicó el martes correcciones para 63 fallas de seguridad que afectan sus productos de software, incluidas dos vulnerabilidades que, según dice, han sido objeto de explotación activa.

De las 63 vulnerabilidades, tres están clasificadas como críticas, 57 como importantes, una como moderada y dos como de gravedad baja. Esto se suma a las 23 fallas que Microsoft abordó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches del mes pasado .

La actualización se destaca por corregir dos fallas explotadas activamente:

  • CVE-2025-21391 (puntuación CVSS: 7,1): vulnerabilidad de elevación de privilegios en el almacenamiento de Windows
  • CVE-2025-21418 (puntuación CVSS: 7,8): vulnerabilidad de elevación de privilegios en el controlador de funciones auxiliares de Windows para WinSock

«Un atacante sólo podría eliminar archivos específicos de un sistema», dijo Microsoft en una alerta sobre CVE-2025-21391. «Esta vulnerabilidad no permite la divulgación de ninguna información confidencial, pero podría permitir a un atacante eliminar datos que podrían incluir datos que hagan que el servicio no esté disponible».

Mike Walters, presidente y cofundador de Action1, señaló que la vulnerabilidad podría encadenarse con otras fallas para escalar privilegios y realizar acciones de seguimiento que pueden complicar los esfuerzos de recuperación y permitir que los actores de amenazas encubran sus huellas al eliminar artefactos forenses cruciales.

CVE-2025-21418, por otro lado, se refiere a un caso de escalada de privilegios en AFD.sys que podría explotarse para lograr privilegios de SISTEMA.

Cabe señalar que Gen Digital reveló en agosto pasado que el grupo Lazarus, vinculado a Corea del Norte, estaba utilizando una falla similar en el mismo componente (CVE-2024-38193). En febrero de 2024, el gigante tecnológico también detectó una falla de escalada de privilegios del kernel de Windows (CVE-2024-21338) que afectaba al controlador de AppLocker (appid.sys) y que también fue explotada por el grupo de piratas informáticos.

Estas cadenas de ataque se destacan porque van más allá de un ataque tradicional Bring Your Own Vulnerable Driver (BYOVD) al aprovechar una falla de seguridad en un controlador nativo de Windows, eliminando así la necesidad de introducir otros controladores en los entornos de destino.

Actualmente no se sabe si el abuso de CVE-2025-21418 también está vinculado al Grupo Lazarus. La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido ambas fallas a su catálogo de vulnerabilidades explotadas conocidas ( KEV ), exigiendo a las agencias federales que apliquen los parches antes del 4 de marzo de 2025.

La más grave de las fallas abordadas por Microsoft en la actualización de este mes es CVE-2025-21198 (puntaje CVSS: 9.0), una vulnerabilidad de ejecución remota de código (RCE) en el High Performance Compute (HPC) Pack.

«Un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTPS especialmente diseñada al nodo principal o al nodo de cómputo Linux objetivo, otorgándoles la capacidad de realizar RCE en otros clústeres o nodos conectados al nodo principal objetivo», dijo Microsoft.

También cabe mencionar otra vulnerabilidad de RCE ( CVE-2025-21376 , puntuación CVSS: 8,1) que afecta al Protocolo ligero de acceso a directorios (LDAP) de Windows y que permite a un atacante enviar una solicitud especialmente diseñada y ejecutar código arbitrario. Sin embargo, para explotar con éxito la falla, el actor de la amenaza debe ganar una condición de carrera.

«Dado que LDAP es parte integral de Active Directory, que sustenta la autenticación y el control de acceso en entornos empresariales, una vulneración podría provocar movimientos laterales, escalada de privilegios y violaciones generalizadas de la red», afirmó Ben McCarthy, ingeniero principal de ciberseguridad en Immersive Labs.

Por otra parte, la actualización también resuelve una vulnerabilidad de divulgación de hash NTLMv2 ( CVE-2025-21377 , puntuación CVSS: 6,5) que, si se explota con éxito, podría permitir a un atacante autenticarse como el usuario objetivo.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, entre ellas:

  • Adobe
  • VeraCore de vanguardia
  • Servicios web de Amazon
  • AMD
  • Manzana
  • Brazo
  • Asus
  • Automatización directa
  • Bosch
  • Canon
  • Cisco
  • Código de SIS
  • Enlace D
  • Dell
  • Administrador de escritorio remoto de Devolutions
  • Drupal
  • F5
  • Fortinet
  • GitLab
  • Google Android y Pixel
  • Google Chrome
  • Nube de Google
  • Sistema operativo Google Wear
  • Redes HMS
  • caballos de fuerza
  • HP Enterprise (incluida red Aruba)
  • IBM
  • Intel
  • Ivanti
  • Jenkins
  • Redes Juniper
  • Lenovo
  • Distribuciones de Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE y Ubuntu
  • MediaTek
  • Mitel
  • Mitsubishi Eléctrico
  • Mozilla Firefox, Firefox ESR y Thunderbird
  • NETGEAR
  • NVIDIA
  • OpenSSL
  • Redes de Palo Alto
  • Software de progreso
  • QNAP
  • Qualcomm
  • Automatización Rockwell
  • Fuerza de ventas
  • Samsung
  • SAVIA
  • Schneider Electric
  • Siemens
  • Vientos solares
  • Pared sónica
  • Sinología
  • Obras urbanas de Trimble
  • Veeam
  • Veritas
  • Zimbra
  • Zoom y
  • Zyxel

Fuente y redacción: thehackernews.com

Compartir