Microsoft ha corregido
56 vulnerabilidades de seguridad en Windows, de las cuales tres son nuevos ataques Zero-Day, siendo uno de ellos utilizado activamente.
Para más detalles sobre las actualizaciones que no están relacionadas con la seguridad, te invitamos a consultar nuestros artículos sobre las actualizaciones acumulativas KB5072033 y KB5071417 para Windows 11.
El desglose de las vulnerabilidades es el siguiente:
- 28 vulnerabilidades de elevación de privilegios
- 19 vulnerabilidades de ejecución remota de código
- 4 vulnerabilidades de divulgación de información
- 3 vulnerabilidades de denegación de servicio
- 2 vulnerabilidades de suplantación de identidad
En total, Microsoft ha abordado 1,275 CVE en 2025, según datos de Fortra. Satnam Narang, de Tenable, destaca que este marca el segundo año consecutivo en que Microsoft patcha más de 1,000 CVE.
Esta actualización también incluye la corrección de 17 vulnerabilidades en su navegador Edge basado en Chromium desde la actualización de noviembre de 2025. Entre ellas, hay una vulnerabilidad de suplantación de identidad en Edge para iOS (CVE-2025-62223, CVSS 4.3).
La vulnerabilidad que ha sido explotada activamente es
CVE-2025-62221
(CVSS: 7.8). Se trata de un uso posterior a la liberación en el controlador de minifiltros de Windows Cloud Files que podría permitir a un atacante autorizado elevar privilegios localmente. Este minifiltro es utilizado por servicios como OneDrive, Google Drive e iCloud, y sigue presente en Windows incluso sin tener esas aplicaciones instaladas.
Actualmente, se desconoce cómo se está aplicando esta vulnerabilidad en la práctica ni en qué contexto, aunque para explotarla exitosamente, un atacante debería acceder al sistema afectado mediante otros métodos.
Según Mike Walters, presidente y cofundador de Action1, un atacante podría lograr acceso con privilegios reducidos mediante técnicas como phishing o exploits de navegadores, y luego combinarlo con CVE-2025-62221 para obtener control total del sistema.
Una vez dentro, el atacante podría utilizar componentes del kernel o abusar de controladores firmados para eludir las defensas del sistema y mantenerse presente, eventualmente permitiendo una vulneración completa del dominio, particularmente en situaciones de robo de credenciales.
La explotación de CVE-2025-62221 ha llevado a CISA a incluirla en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV).
Las otras dos vulnerabilidades tipo Zero-Day son las siguientes:
-
CVE-2025-54100
(CVSS: 7.8): Una vulnerabilidad de inyección de comandos en Windows PowerShell que permite la ejecución no autorizada de código local.
«Es una falla de inyección de comandos en la manera en que Windows PowerShell maneja el contenido web», mencionó Alex Vovk de Action1. «Esto permite a un atacante no autenticado ejecutar código arbitrario en el contexto de seguridad de un usuario que utiliza un comando de PowerShell manipulado, como Invoke-WebRequest«.
La amenaza se vuelve más grave cuando esta vulnerabilidad se aprovecha con patrones de ataque comunes. Por ejemplo, un atacante puede emplear ingeniería social para persuadir a un usuario o administrador a ejecutar un comando de PowerShell mediante Invoke-WebRequest, permitiendo que un servidor remoto entregue contenido manipulado que desencadena la vulnerabilidad y ejecuta el código.
Microsoft ha implementado un cambio que muestra una advertencia cuando PowerShell utiliza ‘Invoke-WebRequest’, sugiriendo al usuario que incluya -UseBasicParsing para evitar la ejecución de código no autorizado.
-
CVE-2025-64671
(CVSS: 8.4): Una vulnerabilidad de inyección de comandos en GitHub Copilot para JetBrains que permite la ejecución no autorizada de código local.
Es relevante mencionar que CVE-2025-64671 es parte de una serie más amplia de vulnerabilidades de seguridad, conocida como IDEsaster, recientemente revelada por el investigador de seguridad Ari Marzouk. Estos problemas surgen de la inclusión de capacidades de agente en entornos de desarrollo integrado (IDE), exponiendo nuevos riesgos de seguridad.
Estos ataques aprovechan las inyecciones inmediatas dirigidas a los agentes de inteligencia artificial en los IDE, combinándolas con las capas base del IDE para provocar divulgaciones de información o la ejecución de comandos.
«Esto utiliza una cadena de ataque antigua con una herramienta vulnerable, así que no es exactamente parte de la cadena de ataque novedad de IDEsaster», declaró Marzouk. «Específicamente, se trata de una herramienta vulnerable para la ejecución de comandos que permite eludir la lista de permitidos del usuario».
La vulnerabilidad indica la posibilidad de ejecutar código en los equipos afectados manipulando los LLM para que ejecuten comandos que eludan las medidas de seguridad y añadiendo instrucciones en la configuración de ‘aprobación automática’ del usuario.
«Esto puede lograrse mediante la ‘inyección de mensajes cruzados’, donde el mensaje no es modificado por el usuario, sino que son los agentes LLM quienes generan sus propios mensajes basados en el contenido de archivos o datos extraídos de un servidor de Protocolo de Contexto de Modelo (MCP)», que ha ganado popularidad entre los LLM basados en agentes.
Fuente: THN
Con Información de blog.segu-info.com.ar