CVE-2025-21418 y CVE-2025-21391
CVE-2025-21418 es una vulnerabilidad en el controlador de funciones auxiliares de Windows (AFD.sys), que interactúa con la API de Windows Sockets para permitir que las aplicaciones de Windows se conecten a Internet. Los atacantes pueden aprovecharla para elevar los privilegios en el host de destino.
«Un usuario autenticado necesitaría ejecutar un programa especialmente diseñado que termina ejecutando código con privilegios de SISTEMA. Es por eso que este tipo de errores suelen ir acompañados de un error de ejecución de código para apoderarse de un sistema», afirma Dustin Childs, director de concienciación de amenazas en la Zero Day Initiative de Trend Micro.
Satnam Narang, ingeniero de investigación senior de Tenable, dice que desde 2022, ha habido nueve vulnerabilidades de elevación de privilegios en el controlador de funciones auxiliares para WinSock, y solo una de ellas fue explotada en la naturaleza como un día cero (CVE-2024-38193).
“Según los informes , el grupo APT norcoreano conocido como Lazarus Group (también conocido como Hidden Cobra o Diamond Sleet) aprovechó CVE-2024-38193 para implantar una nueva versión del rootkit FudModule con el fin de mantener la persistencia y el sigilo en los sistemas comprometidos. En este momento, no está claro si CVE-2025-21418 también fue explotado por Lazarus Group”, agregó.
CVE-2025-21391 afecta a Windows Storage en varias versiones de Windows y Windows Server. Se trata de otra falla de elevación de privilegios que, según Microsoft, solo permitiría a los atacantes eliminar archivos específicos de un sistema, lo que podría provocar que el servicio no esté disponible.
Obviamente, esto también podría llevar a una escalada de privilegios, como lo describe el investigador de ZDI Simon Zuckerbraun.
«Si bien hemos visto problemas similares en el pasado, esta parece ser la primera vez que se ha explotado la técnica en la práctica. También es probable que esté asociada a un error de ejecución de código para apoderarse por completo de un sistema», comentó Childs y aconsejó a los usuarios que prueben e implementen el parche rápidamente.
Los dos días cero explotados se han añadido al catálogo de vulnerabilidades explotadas conocidas de CISA.
Otras vulnerabilidades a destacar
CVE-2025-21194 , una vulnerabilidad de evasión de funciones de seguridad que afecta a las computadoras portátiles Microsoft Surface, y CVE-2025-21377 , una vulnerabilidad de divulgación de hash NTLMv2 que podría ser utilizada por atacantes para autenticarse como el usuario, han sido marcadas como «divulgada públicamente».
Según Microsoft, es más probable que se aproveche este último método. “Las organizaciones que utilizan sistemas Windows que no dependen exclusivamente de Kerberos para la autenticación están en riesgo”, afirma Mike Walters, presidente de Action1.
CVE-2025-21376 , una vulnerabilidad crítica de ejecución remota de código que surge de varias debilidades, podría ser explotada por atacantes no autenticados enviando una solicitud especialmente diseñada a un servidor de Protocolo ligero de acceso a directorios (LDAP) vulnerable de Windows.
«Como no hay interacción del usuario, este error puede propagarse entre los servidores LDAP afectados», señaló Childs. «Microsoft lo clasifica como ‘Probable explotación’, por lo que, aunque puede ser poco probable, lo consideraría una explotación inminente».
Fuente y redacción: helpnetsecurity.com
