Por primera vez en 11 meses, las actualizaciones del martes de Parches de Microsoft no incluyeron correcciones para vulnerabilidades activamente explotadas.

El parche incluye actualizaciones de seguridad para 137 defectos, incluida una vulnerabilidad de día cero divulgada públicamente en Microsoft SQL Server. Se corrigen catorce vulnerabilidades «críticas», diez de las cuales son vulnerabilidades de ejecución de código remoto, una es una divulgación de información y dos son fallas de ataque de canales laterales AMD.

El número de errores en cada categoría de vulnerabilidad se enumera a continuación:

  • 53 Elevación de vulnerabilidades de privilegios
  • 8 Vulnerabilidades de derivación de características de seguridad
  • 41 Vulnerabilidades de ejecución de código remoto
  • 18 Vulnerabilidades de divulgación de información
  • 6 Vulnerabilidades de denegación de servicio
  • 4 Vulnerabilidades de suplantación

Este recuento no incluye CVE no pertenecientes a Microsoft que afectan a Visual Studio, AMD y su navegador Edge basado en Chromium. De estas, 10 se consideran críticas y las restantes, importantes en cuanto a su gravedad.

Para obtener más información sobre las actualizaciones que no son de seguridad, se pueden revisar los artículos dedicados en las actualizaciones acumulativas de Windows 11 KB5062553 y KB5062552 y la actualización acumulativa de Windows 10 KB5062554.

La falla más crítica corregida por Microsoft como parte de las actualizaciones de este mes se refiere a un caso de ejecución remota de código que afecta a SPNEGO Extended Negotiation (NEGOEX). Identificada como CVE-2025-47981, tiene una puntuación CVSS de 9,8. Un atacante podría explotar esta vulnerabilidad enviando un mensaje malicioso al servidor, lo que podría provocar la ejecución remota de código.

Microsoft indicó que el problema solo afecta a equipos cliente Windows con Windows 10, versión 1607 y posteriores, debido a que el objeto de directiva de grupo (GPO) «Seguridad de red: Permitir que las solicitudes de autenticación PKU2U a este equipo utilicen identidades en línea» está habilitado de forma predeterminada.

Como siempre, los RCE son perjudiciales, pero los primeros análisis sugieren que esta vulnerabilidad podría ser susceptible de ser utilizada como un gusano, el tipo de vulnerabilidad que podría aprovecharse para la autopropagación de malware y hacer que muchos revivan el trauma del incidente de WannaCry, declaró Benjamin Harris, fundador y director ejecutivo de watchTowr.

Microsoft es claro en cuanto a los requisitos previos: no se requiere autenticación, solo acceso a la red, y la propia Microsoft cree que la explotación es «más probable». No nos engañemos: si el sector privado ha detectado esta vulnerabilidad, sin duda ya está en el radar de cualquier atacante con un mínimo de malicia. Los defensores deben abandonar todo, aplicar parches rápidamente y rastrear los sistemas expuestos.

Otras vulnerabilidades importantes incluyen fallas de ejecución remota de código que afectan al Servicio Proxy KDC de Windows (CVE-2025-49735, CVSS 8.1), Windows Hyper-V (CVE-2025-48822, CVSS 8.6), y Microsoft Office (CVE-2025-49695, CVE-2025-496966, y CVE-2025-49697, CVSS 8.4).

«Lo que hace significativa a CVE-2025-49735 es la exposición de la red, sin requerir privilegios ni interacción del usuario. A pesar de la alta complejidad de su ataque, esta vulnerabilidad facilita la vulneración remota previa a la autorización, lo que resulta especialmente atractivo para APT y actores estatales», afirmó Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.

El atacante debe superar una condición de carrera (una falla de sincronización donde la memoria se libera y reasigna en una ventana específica), lo que significa que la fiabilidad es baja por ahora. Sin embargo, estos problemas pueden aprovecharse con técnicas como la limpieza de la pila, lo que facilita su explotación.

Por otra parte, la actualización soluciona cinco omisiones de funciones de seguridad en BitLocker (CVE-2025-48001, CVE-2025-48003, CVE-2025-48800, CVE-2025-48804, y CVE-2025-48818, CVSS 6.8) que podrían permitir a un atacante con acceso físico al dispositivo obtener datos cifrados.

Un atacante podría explotar esta vulnerabilidad cargando un archivo WinRE.wim mientras el volumen del sistema operativo está desbloqueado, lo que otorgaría acceso a los datos cifrados de BitLocker, declaró Microsoft sobre CVE-2025-48804.

También cabe destacar que el 8 de julio de 2025 marca oficialmente el fin de SQL Server 2012, que ya no recibirá parches de seguridad en el futuro.

Vulnerabilidad en Microsoft SQL Server

La vulnerabilidad, que se ha dado a conocer públicamente, es una falla de divulgación de información en Microsoft SQL Server (CVE-2025-49719, puntuación CVSS: 7,5) que podría permitir a un atacante no autorizado filtrar memoria no inicializada.

Microsoft fija un defecto en Microsoft SQL Server que podría permitir que un atacante remoto y no autenticado acceda a datos de la memoria no inicializada. «La validación de entrada inadecuada en SQL Server permite a un atacante no autorizado divulgar información en una red», explica Microsoft.

Los administradores pueden solucionar la falla instalando la última versión de Microsoft SQL Server y el controlador Microsoft Ole DB 18 o 19.

«Un atacante podría no obtener información valiosa, pero con suerte, persistencia o un manejo astuto del exploit, el premio podría ser material de claves criptográficas u otras joyas de la corona de SQL Server», declaró Adam Barnett, ingeniero de software principal de Rapid7.

Mike Walters, presidente y cofundador de Action1, afirmó que la falla probablemente se deba a una validación de entrada incorrecta en la gestión de memoria de SQL Server, lo que permite el acceso a memoria no inicializada. «Como resultado, los atacantes podrían recuperar restos de datos confidenciales, como credenciales o cadenas de conexión. Afecta tanto al motor de SQL Server como a las aplicaciones que utilizan controladores OLE DB», añadió Walters.

Parches de software de otros proveedores

Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad en las últimas dos semanas para corregir varias vulnerabilidades, entre ellas:

  • Adobe
  • AMD
  • Atlassian
  • Bitdefender
  • Broadcom (incluye VMware)
  • Cisco
  • Citrix
  • D-Link
  • Dell
  • Drupal
  • F5
  • Fortinet
  • Fortra
  • Gigabyte
  • GitLab
  • Google Chrome
  • Google Cloud
  • Grafana
  • Hikvision
  • Hitachi Energy
  • HP
  • HP Enterprise (incluye Aruba Networking)
  • IBM
  • Intel
  • Ivanti
  • Jenkins
  • Juniper Networks
  • Lenovo
  • Linux: AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, y Ubuntu
  • MediaTek
  • Mitsubishi Electric
  • MongoDB
  • Moxa
  • Mozilla Thunderbird
  • NVIDIA
  • OPPO
  • Palo Alto Networks
  • Progress Software
  • Qualcomm
  • Ricoh
  • Ruckus Wireless
  • Samsung
  • SAP
  • Schneider Electric
  • Siemens
  • Splunk
  • Supermicro
  • Veeam
  • WordPress
  • Zimbra
  • Zoom

Fuente y redacción: segu-info.com.ar

Compartir