Microsoft ha entregado una carga bastante ligera de parches para el Patch Tuesday de noviembre de 2025: se han corregido más de 60 vulnerabilidades, entre ellas una falla del kernel de Windows que se explota activamente (CVE-2025-62215).
CVE-2025-62215
CVE-2025-62215 es un problema de corrupción de memoria que se origina en la “ejecución concurrente utilizando recursos compartidos con sincronización inadecuada (‘condición de carrera’) en el kernel de Windows”, lo que permite la elevación local de privilegios (a SYSTEM).
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y su Centro de Respuesta de Seguridad (MSRC) detectaron la explotación en la naturaleza , probablemente en ataques limitados, ya que el código de explotación es funcional pero no está ampliamente disponible.
“También es interesante observar que aquí hay una condición de carrera, lo que demuestra que algunas condiciones de carrera son más fiables que otras. Errores como estos suelen combinarse con un error de ejecución de código por parte del malware para tomar el control total de un sistema”, señaló Dustin Childs, jefe de concienciación sobre amenazas de la Iniciativa Zero Day de Trend Micro.
Chris Goettl, vicepresidente de gestión de productos de seguridad de Ivanti, señaló que la vulnerabilidad afecta a todas las ediciones de sistemas operativos Windows actualmente compatibles y a las actualizaciones de seguridad extendidas (ESU) de Windows 10, lo que significa que el riesgo de ejecutar Windows 10 después del fin de su vida útil sin ESU no es hipotético.
“Asegúrese de estar suscrito a las actualizaciones de seguridad de Windows 10 y de proporcionar medidas de mitigación adicionales cuando sea posible”, aconsejó .
Microsoft también ha lanzado una actualización fuera de banda para dispositivos de consumo que no están inscritos en el programa de Actualizaciones de seguridad extendidas (ESU) para Windows 10. Esta actualización corrige un problema que podía provocar que el asistente de inscripción de ESU fallara durante el proceso de inscripción.
Goettl señaló que hay otros productos de Windows que dejarán de recibir soporte o que lo recibirán durante un breve período de tiempo más.
“Exchange Server, por ejemplo, está recibiendo atención adicional . Microsoft anunció una opción de actualización de software extendida (ESU) de 6 meses para servidores Exchange 2016/2019 para los clientes que necesiten dicha extensión. Sin embargo, recomiendan no depender de este programa y hacer todo lo posible por migrar de Exchange a Exchange SE a tiempo.”
Windows 11 Home y Pro 23H2 han alcanzado su fecha de “Fin de soporte”.
Otras vulnerabilidades destacables
CVE-2025-60724 es un error de desbordamiento de búfer basado en montón en Graphics Device Interface Plus (GDI+), un subsistema utilizado en aplicaciones de Windows para renderizar gráficos vectoriales 2D, imágenes y texto.
“Un atacante podría explotar esta vulnerabilidad convenciendo a una víctima de descargar y abrir un documento que contenga un metarchivo especialmente diseñado. En el peor de los casos, un atacante podría explotar esta vulnerabilidad en servicios web cargando documentos que contengan un metarchivo especialmente diseñado sin interacción del usuario”, explicó Microsoft .
La vulnerabilidad es crítica, ya que puede permitir la ejecución remota de código sin interacción del usuario y puede ser explotada por atacantes no autenticados en ataques de baja complejidad. Sin embargo, Microsoft considera que es poco probable que sea explotada.
“Si bien esta vulnerabilidad casi con seguridad no es susceptible de propagación mediante gusanos informáticos, es claramente muy grave y sin duda es una prioridad máxima para prácticamente cualquiera que esté considerando cómo abordar los parches de este mes”, comentó Adam Barnett, ingeniero de software principal de Rapid7 .
CVE-2025-62199 , una vulnerabilidad de uso después de liberación en Microsoft Office, puede ser explotada por atacantes para lograr la ejecución de código en sistemas vulnerables.
La explotación se basa en engañar al usuario para que descargue y abra un archivo malicioso, señaló Microsoft , pero también afirmó que el panel de vista previa es un vector de ataque.
“Esto sin duda aumenta la probabilidad de explotación en el mundo real, ya que el atacante no necesita encontrar una manera de sortear esas molestas advertencias sobre la activación de contenido peligroso. Bastaría con desplazarse por una lista de correos electrónicos en Outlook”, señaló Barnett de Rapid7.
CVE-2025-62222 afecta a Agentic AI y Visual Studio Code y podría permitir que un atacante no autorizado ejecute código a través de una red.
“Se ha identificado y corregido la vulnerabilidad en la extensión de chat CoPilot de Visual Studio Code. La cadena de ataque es novedosa y preocupante, ya que se dirige al entorno de confianza del desarrollador”, afirma Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.
Un atacante crea un problema malicioso en GitHub dentro de un repositorio. La descripción de este problema contiene un comando oculto y sin sanitizar. El atacante debe entonces convencer al desarrollador de que interactúe con este problema específico de una manera no estándar: «habilitando un modo particular en el problema creado por el atacante». Esta acción del usuario provoca que la extensión lea y ejecute la descripción maliciosa del problema. Esto activa la vulnerabilidad de inyección de comandos, lo que lleva a la ejecución remota de código en el contexto del usuario.
Fuente y redacción: helpnetsecurity.com
