Microsoft lanzó el martes actualizaciones de seguridad para abordar 57 vulnerabilidades de seguridad en su software, incluidas seis vulnerabilidades de día cero que, según dice, han sido explotadas activamente.

De las 56 vulnerabilidades, seis se consideran críticas, 50 importantes y una de baja gravedad. Veintitrés de las vulnerabilidades corregidas son errores de ejecución remota de código y 22 están relacionadas con la escalada de privilegios.

Las actualizaciones se suman a 17 vulnerabilidades que Microsoft abordó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización Patch Tuesday del mes pasado , una de las cuales es una falla de suplantación específica del navegador ( CVE-2025-26643 , puntaje CVSS: 5.4).

A continuación se enumeran las seis vulnerabilidades que han sido objeto de explotación activa:

  • CVE-2025-24983 (puntuación CVSS: 7.0): una vulnerabilidad de uso después de la liberación (UAF) del subsistema del kernel Win32 de Windows que permite a un atacante autorizado elevar privilegios localmente.
  • CVE-2025-24984 (puntuación CVSS: 4,6): una vulnerabilidad de divulgación de información de Windows NTFS que permite a un atacante con acceso físico a un dispositivo de destino y la capacidad de conectar una unidad USB maliciosa leer potencialmente partes de la memoria del montón.
  • CVE-2025-24985 (puntuación CVSS: 7.8): una vulnerabilidad de desbordamiento de enteros en el controlador del sistema de archivos FAT rápido de Windows que permite a un atacante no autorizado ejecutar código localmente.
  • CVE-2025-24991 (puntuación CVSS: 5,5): una vulnerabilidad de lectura fuera de límites en Windows NTFS que permite a un atacante autorizado divulgar información localmente.
  • CVE-2025-24993 (puntuación CVSS: 7,8): una vulnerabilidad de desbordamiento de búfer basada en montón en Windows NTFS que permite a un atacante no autorizado ejecutar código localmente.
  • CVE-2025-26633 (puntuación CVSS: 7.0): una vulnerabilidad de neutralización indebida en Microsoft Management Console que permite a un atacante no autorizado eludir una función de seguridad localmente.

ESET, a quien se le atribuye el descubrimiento y reporte de CVE-2025-24983, dijo que descubrió por primera vez el exploit de día cero en marzo de 2023 y lo distribuyó a través de una puerta trasera llamada PipeMagic en los hosts comprometidos.

La vulnerabilidad se produce por un uso después de la liberación (USF) en el controlador Win32k, señaló la empresa eslovaca . En un escenario determinado, implementado con la API WaitForInputIdle, la estructura W32PROCESS se desreferencia una vez más de lo debido, lo que provoca UAF. Para alcanzar la vulnerabilidad, se debe superar una condición de carrera.

PipeMagic, descubierto por primera vez en 2022, es un troyano basado en complementos que ha atacado a entidades en Asia y Arabia Saudita, y el malware se distribuyó en forma de una aplicación falsa OpenAI ChatGPT en campañas de finales de 2024.

«Una de las características únicas de PipeMagic es que genera una matriz aleatoria de 16 bytes para crear una tubería con nombre en el formato \.\pipe\1.», reveló Kaspersky en octubre de 2024. «Genera un hilo que crea esta tubería continuamente, lee datos de ella y luego la destruye».

Esta tubería se utiliza para recibir cargas útiles codificadas y señales de parada a través de la interfaz local predeterminada. PipeMagic suele funcionar con varios complementos descargados desde un servidor de comando y control (C2), que, en este caso, estaba alojado en Microsoft Azure.

La Iniciativa Día Cero señaló que CVE-2025-26633 se deriva de la gestión de archivos MSC, lo que permite a un atacante evadir las protecciones de reputación de archivos y ejecutar código en el contexto del usuario actual. Esta actividad se ha vinculado a un actor de amenazas identificado como EncryptHub (también conocido como LARVA-208).

Action1 señaló que los actores de amenazas podrían combinar las cuatro vulnerabilidades que afectan a los componentes principales del sistema de archivos de Windows para provocar la ejecución remota de código (CVE-2025-24985 y CVE-2025-24993) y la divulgación de información (CVE-2025-24984 y CVE-2025-24991). Los cuatro errores se reportaron de forma anónima.

«En concreto, el exploit se basa en que el atacante cree un archivo VHD malicioso y convenza al usuario para que lo abra o monte», explicó Kev Breen, director sénior de investigación de amenazas de Immersive. «Los VHD son discos duros virtuales y suelen estar asociados con el almacenamiento del sistema operativo de las máquinas virtuales».

Aunque suelen asociarse con máquinas virtuales, a lo largo de los años hemos visto ejemplos de cibercriminales que utilizan archivos VHD o VHDX en campañas de phishing para introducir malware sin que las soluciones antivirus lo detecten. Dependiendo de la configuración de los sistemas Windows, basta con hacer doble clic en un archivo VHD para montar el contenedor y, por lo tanto, ejecutar cualquier carga útil contenida en el archivo malicioso.

Según Satnam Narang, ingeniero de investigación sénior de Tenable, CVE-2025-26633 es la segunda falla en MMC que se explota in situ como un día cero después de CVE-2024-43572 y CVE-2025-24985 es la primera vulnerabilidad en el controlador del sistema de archivos Fast FAT de Windows desde marzo de 2022. También es la primera en explotarse in situ como un día cero.

Como es habitual, actualmente se desconoce si se están explotando las vulnerabilidades restantes, en qué contexto ni la escala exacta de los ataques. Este desarrollo ha llevado a la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) a añadirlas al catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), lo que exige que las agencias federales apliquen las correcciones antes del 1 de abril de 2025.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad durante las últimas semanas para corregir varias vulnerabilidades, entre ellas:

  • Adobe
  • Servicios web de Amazon
  • AMD
  • Manzana
  • Atlassian
  • Broadcom (incluido VMware)
  • Canon
  • Cisco
  • Citrix
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • GitLab
  • Google Android y Pixel
  • Google Chrome
  • Google Cloud
  • Sistema operativo Google Wear
  • Energía Hitachi
  • HP
  • HP Enterprise (incluida Aruba Networking)
  • IBM
  • Ivanti
  • Jenkins
  • Lenovo
  • LibreOffice
  • Distribuciones de Linux Amazon Linux , Debian , Oracle Linux , Red Hat , Rocky Linux , SUSE y Ubuntu
  • MediaTek
  • Mitsubishi Electric
  • Moxa
  • Mozilla Firefox, Firefox ESR y Thunderbird
  • NVIDIA
  • QNAP
  • Qualcomm
  • Automatización Rockwell
  • Samsung
  • SAVIA
  • Schneider Electric
  • Siemens
  • Sinología
  • Veritas
  • Zimbra
  • Zoho Manage Engine (Módulo de gestión de Zoho)
  • Zoom y
  • Zyxel

Fuente y redacción: thehackernews.com

Compartir