El día de ayer, Microsoft lanzó parches para
63 vulnerabilidades nuevas
detectadas en su software, incluidas
una que ya está siendo activamente explotada.

Entre las 63 vulnerabilidades, cuatro se clasifican como críticas y 59 como importantes. Veintinueve de ellas están relacionadas con escalamiento de privilegios, seguidas de 16 de ejecución remota de código, 11 de divulgación de información, tres de denegación de servicio (DoS), dos de omisión de funciones de seguridad y dos de suplantación de identidad.

Estos parches se añaden a las
27 vulnerabilidades
que Microsoft ha solucionado en su navegador Edge basado en Chromium desde la actualización del martes de parches de octubre de 2025.

Asimismo, Microsoft ha publicado la actualización
KB5068781, la primera actualización de seguridad extendida para Windows 10 desde que el sistema operativo dejó de recibir soporte el mes pasado. Tanto consumidores como empresas pueden suscribirse a las actualizaciones de seguridad extendidas (ESU) por un costo de U$S30, que ofrecen actualizaciones de seguridad durante un máximo de tres años, dependiendo del tipo de cuenta.

La vulnerabilidad cero-day que se ha destacado como siendo explotada es
CVE-2025-62215
(CVSS: 7.0), que permite el escalamiento de privilegios en el kernel de Windows.

El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de Respuesta de Seguridad de Microsoft (MSRC) fueron los encargados de detectar e informar sobre este problema.

«La ejecución simultánea de recursos compartidos con una sincronización inadecuada (una condición de carrera) en el kernel de Windows permite que un atacante autorizado eleve privilegios localmente», señaló la empresa en un comunicado.

Para que esta explotación tenga éxito, el atacante debe haber accedido previamente al sistema para establecer la situación de carrera. Una vez alcanzado este requisito, podría obtener privilegios de SYSTEM. «Un atacante con acceso local y privilegios limitados puede ejecutar una aplicación especialmente diseñada que intente provocar repetidamente esta condición de carrera», afirmó Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.

El objetivo es que múltiples hilos interactúen con un recurso compartido del kernel de manera no sincronizada, confundiendo la gestión de memoria del kernel y haciendo que libere el mismo bloque de memoria en dos ocasiones. Esta liberación doble puede corromper el montón del kernel, posibilitando que el atacante sobrescriba memoria y controle el flujo de ejecución del sistema.

Actualmente se desconoce cómo y quién está explotando esta vulnerabilidad, pero se cree que se utiliza como parte de una actividad que sigue a la explotación inicial para escalar privilegios, posiblemente mediante ingeniería social, phishing o la explotación de otra vulnerabilidad, según declaró Satnam Narang, ingeniero sénior de investigación de Tenable.

«Cuando se combina con otros errores, esta condición de carrera en el kernel es crítica: una ejecución remota de código (RCE) o una fuga del entorno aislado (sandbox) puede convertir un ataque remoto en un control del sistema, y un acceso inicial con privilegios limitados puede escalarse para extraer credenciales y avanzar lateralmente», afirmó Mike Walters, presidente y cofundador de Action1, en un comunicado.

  • También se ha corregido, como parte de las actualizaciones, una vulnerabilidad crítica de desbordamiento de búfer basada en montón en el componente de gráficos de Microsoft (CVE-2025-60724 (CVSS: 9.8), que puede permitir la ejecución remota de código en GDI+.
  • CVE-2025-62199 (CVSS: 7.8): es una vulnerabilidad de ejecución remota de código (RCE) en Microsoft Office, clasificada como crítica y evaluada con «baja probabilidad de explotación» según el
    Índice de Exploitabilidad de Microsoft. Un atacante podría aprovechar esta vulnerabilidad mediante ingeniería social, enviando un archivo malicioso de Microsoft Office a la víctima. Si tiene éxito, el atacante podría ejecutar código con privilegios.
  • CVE-2025-62205
    y
    CVE-2025-62216: dos vulnerabilidades adicionales de ejecución remota de código (RCE) con una puntuación CVSSv3 de 7.8, clasificadas como importantes. Ambas se evaluaron con «poca probabilidad de explotación». A diferencia de la vulnerabilidad CVE-2025-62199, el panel de vista previa no es un vector de ataque para estas dos vulnerabilidades.
  • CVE-2025-60719,
    CVE-2025-62213
    y
    CVE-2025-62217
    son vulnerabilidades de nivel de protección (EoP) que afectan al controlador de función auxiliar para WinSock en Microsoft Windows. Todas obtuvieron una puntuación CVSSv3 de 7.0, se clasificaron como importantes y se evaluaron como de «alta probabilidad de explotación». Un atacante local autenticado puede usar estas vulnerabilidades para obtener privilegios de administrador (SYSTEM).

Fuente:
THN


Con Información de blog.segu-info.com.ar