Microsoft ha lanzado parches para 130 vulnerabilidades, entre ellas una que se ha revelado públicamente (CVE-2025-49719) y un error RCE que se puede convertir en gusano en Windows y Windows Server (CVE-2025-47981).

CVE-2025-49719 y CVE-2025-49717, en Microsoft SQL Server

CVE-2025-49719 es una vulnerabilidad de divulgación de memoria no inicializada que afecta a Microsoft SQL Server y que puede ser activada de forma remota por atacantes no autorizados.

Microsoft afirma que el código de explotación para esta vulnerabilidad “no está probado” (es decir, no está disponible públicamente o es simplemente teórico) y considera que la explotación de la falla es “menos probable”.

«Los usuarios de SQL Server pueden actualizarse a la última versión, que incluye [las necesarias] correcciones de controladores. Sin embargo, si los usuarios han creado sus propias aplicaciones o usan software de otro proveedor que usa SQL Server, deben actualizarse a Microsoft OLE DB Driver para SQL Server versión 18 o 19 o garantizar la compatibilidad antes de la actualización», dice Satnam NAR, Investigador de personal senior de Investigación de Investigación Senior en Tenable.

“Microsoft incluye detalles en su aviso, incluida una matriz de versiones de distribución general compatibles y versiones de actualización acumulativa”.

Estas versiones actualizadas también corrigen CVE-2025-49717 , una vulnerabilidad de desbordamiento de búfer que podría ser activada por atacantes autenticados que ejecutan una consulta maliciosa contra un servidor SQL vulnerable y podría permitirles escapar del contexto del servidor SQL y ejecutar código en el host subyacente.

Vulnerabilidades que requieren su atención

Ante todo, debería parchear CVE-2025-47981, otra vulnerabilidad de desbordamiento de búfer que puede provocar RCE. Esta vulnerabilidad se encuentra en el mecanismo de seguridad de negociación extendida SPNEGO de Windows, lo que permite a atacantes no autorizados activarla enviando un mensaje malicioso a un sistema vulnerable.

«Dado que no hay interacción del usuario, y dado que el código se ejecuta con privilegios elevados, este error cae en la clase de errores de Wormable. Microsoft también le da a esto su calificación de índice de explotabilidad más alta, lo que significa que esperan ataques dentro de los 30 días. Definitivamente, pruebe y despliegue estos parches rápidamente», aconsejó Dustin Childs, jefe de amenaza en la inicio de la iniciativa del día cero del día de la tendencia.

Se ha agregado una solución para esta falla a las actualizaciones de seguridad para una amplia gama de versiones de Windows y Windows Server.

“Esta vulnerabilidad afecta a las máquinas cliente de Windows que ejecutan Windows 10, versión 1607 y superiores, debido a que el siguiente GPO está habilitado de forma predeterminada en estos sistemas operativos: ‘Seguridad de red: Permitir que las solicitudes de autenticación PKU2U a esta computadora usen identidades en línea’”, explicó Microsoft .

Saeed Abbasi, gerente sénior de investigación de seguridad en la Unidad de Investigación de Amenazas de Qualys, recomendó a los administradores comenzar a aplicar parches a los activos conectados a internet o accesibles por VPN, así como a cualquier dispositivo que tenga contacto con AD. «Si no pueden aplicar parches, desactiven la opción ‘Permitir solicitudes de autenticación PKU2U’ mediante GPO y bloqueen las direcciones entrantes 135/445/5985 en el perímetro», añadió.

Entre las vulnerabilidades “más propensas” a ser explotadas se encuentran:

  • Cuatro que permiten a los atacantes eludir la función de cifrado del dispositivo BitLocker en el dispositivo de almacenamiento del sistema (pero estos solo pueden ser explotados por atacantes con acceso físico a sistemas vulnerables)
  • Cuatro vulnerabilidades de RCE en Microsoft Office , tres de las cuales no requieren la interacción del usuario. Para todas ellas, el panel de vista previa es un vector de ataque. Se han publicado parches para las versiones de Office en Windows y Android, pero los usuarios de Mac tendrán que esperar.
  • CVE-2025-49704 , que permite la inyección y ejecución de código en Microsoft SharePoint por parte de atacantes remotos autenticados con privilegios bajos

“[CVE-2025-49704] se origina en PWN2own Berlin y fue utilizado como parte de una cadena por el equipo de seguridad cibernética de Viettel para explotar SharePoint y ganar $ 100,000. Este error particular permitió la inyección de código sobre la red. Por sí solo, requiere algún nivel de autenticación. Sin embargo, en el concurso, el equipo pareado con un bypass de Evade de Evade,», lo que requiere .

Chris Goettl, vicepresidente de gestión de productos de seguridad de Ivanti, recomendó a los administradores no olvidarse de las actualizaciones de Windows Server , que resuelven 16 CVE en el Servicio de enrutamiento y acceso remoto de Windows (RRAS).

Estas vulnerabilidades podrían permitir que un atacante no autenticado convenza a un usuario para que inicie una conexión a un servidor malicioso que le permita ejecutar código arbitrario. El ataque no requeriría privilegios y podría explotarse a través de la red, explicó.

Aplicar las actualizaciones al sistema operativo es la mejor solución, pero medidas adicionales como restringir los puertos RRAS a redes confiables o concentradores VPN pueden limitar la exposición, además de implementar reglas de firewall y deshabilitar las funciones RRAS no utilizadas.

Por último, no olvides actualizar Microsoft Edge para corregir CVE-2025-6554 , que ha sido explotado ilegalmente para atacar a los usuarios de Chrome.

Fuente y redacción: helpnetsecurity.com

Compartir