El martes, Microsoft lanzó un gran conjunto de soluciones de 111 defectos de seguridad en su cartera de software, incluido un defecto que se reveló que era público en el momento del lanzamiento.
De las 111 vulnerabilidades, 16 son calificadas como importantes, 92 son calificadas como importantes, 2 se clasifican como moderadas y 1 se clasifica como baja gravedad. La vulnerabilidad 44 está relacionada con la escalada de privilegios, seguido de defectos en la ejecución de código remoto (35), divulgación (18), falsificación (8) y negación del servicio (4).
Esto incluye 16 vulnerabilidades abordadas en el navegador de borde basado en Chromium de Microsoft desde el lanzamiento de la actualización del martes del parche el mes pasado, así como dos errores de falsificación que afectan a Android’s Edge.
Las vulnerabilidades incluyen una vulnerabilidad de escalada de privilegios que afecta a la implementación híbrida de Microsoft Exchange Server (CVE-2025-53786, puntaje CVSS: 8.0) que Microsoft divulgó la semana pasada.
El día cero publicado es CVE-2025-53779 (puntaje CVSS: 7.2). Este es otro defecto de escalada de privilegios en Windows Kerberos, que proviene del caso del cruce de la ruta relativa. Se cree que el investigador de Akamai Yuval Gordon descubrió e informó el error.
Vale la pena mencionar aquí que este tema fue publicado en mayo de 2025 por una compañía de infraestructura y seguridad web y proporcionó el nombre de código codificado. Una técnica novedosa esencialmente permite a los actores de amenaza con privilegios suficientes para comprometer un dominio de Active Directory (AD) mediante el uso indebido de cuentas de servicios administrados (DMSA).
«La buena noticia aquí es que la explotación exitosa de CVE-2025-53779 requiere el control existente de dos atributos de la DMSA: MSDS-Groupmsamembership, si está bien protegida, ACT», dijo Adam Barnett, ingeniero de software principal de Rapid7, a Hacker News.
«Sin embargo, el abuso de CVE-2025-53779 es ciertamente plausible como el eslabón final en una cadena multi-explotación que crece desde el acceso al total de PNO».
Mike Walters en Action1 señaló que los atacantes pueden abusar de fallas transversales pasadas para crear relaciones de delegación inapropiadas, hacerse pasar por cuentas privilegiadas, aumentar a los administradores de dominios y darles el control total sobre el dominio de Active Directory.
«Los atacantes que ya tienen una cuenta privilegiada comprometida pueden usarla para pasar del control limitado al control de dominio completo», agregó Walters. «También se puede combinar con métodos como los ataques de kerberoasting y boletos de plata para mantener su durabilidad».
«Los privilegios del administrador del dominio permiten a los atacantes deshabilitar la vigilancia de seguridad, modificar las políticas de grupo y manipular los registros de auditoría para ocultar la actividad. Las organizaciones con entornos multiforestas o conexiones de socios pueden incluso explotar este defecto para moverse del dominio comprometido de un ataque de la cadena de suministro a otro dominio».
Satnam Narang, ingeniero de investigación de personal senior de Tenable, dijo que el impacto inmediato de BadSuccerser es limitado. Esto se debe a que solo el 0.7% de los dominios de Active Directory cumplieron el requisito previo en el momento de la divulgación. «Para aprovechar BadSuccessor, un atacante debe tener al menos un controlador de dominio en un dominio que ejecuta Windows Server 2025 para lograr un compromiso de dominio», señaló Narang.
Algunas de las vulnerabilidades de evaluación crítica notables que Redmond parcheó este mes son:
CVE-2025-53767 (Puntuación CVSS: 10.0)-Azure OpenAI Vulnerabilidad de privilegios CVE-2025-53766 (puntaje CVSS: 9.8)-GDI+ Remote Code Ejecution Vulnerabilidad CVE-2025-50165 (Puntuación CVSS: 9.8) CVE-2025-53792 (CVSSS-9.1). Vulnerabilidad de privilegio de portal CVE-2025-53787 (puntaje CVSS: 8.2)-Microsoft 365 Copilot Bizchat Información Vulnerabilidad Vulnerabilidad CVE-2025-50177 Vulnerabilidad CVE-2025-50176 (Puntuación CVS: 7.8)-Directx Graphics Kernel Remote Eecution Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad Vulnerabilidad
Microsoft dijo que se han reparado tres CVE de servicios en la nube que afectan a Azure Openai, Azure Portal y Microsoft 365 Copilot Bizchat y no se requieren ninguna acción del cliente.
Un punto de control, que reveló CVE-2025-53766 junto con CVE-2025-30388, declaró que la vulnerabilidad permitiría a un atacante ejecutar el código arbitrario en el sistema afectado, lo que lleva a un compromiso completo del sistema.
«Los vectores de ataque implican interacción con archivos especialmente creados. Cuando los usuarios abren o procesan este archivo, se desencadena una vulnerabilidad y el atacante tiene control sobre él», dijo la compañía de seguridad cibernética.
La compañía israelí también reveló que ha revelado vulnerabilidades en los componentes a base de óxido en el núcleo de Windows.
«Para las organizaciones con fuerzas laborales grandes o remotas, el riesgo es importante. Los atacantes pueden explotar este defecto y bloquear una gran cantidad de computadoras en toda la empresa, lo que resulta en una interrupción generalizada y un tiempo de inactividad costoso», dijo Checkpoint. «Los resultados destacan que incluso las tecnologías de seguridad avanzadas como el óxido, la vigilancia continua y el parcheo agresivo son esenciales para mantener la integridad del sistema en entornos de software complejos».
Otra vulnerabilidad de importancia es CVE-2025-50154 (puntaje CVSS: 6.5). Esta es una vulnerabilidad en la falsificación de divulgación de hash NTLM, que es un bypass para un error similar (CVE-2025-24054, puntaje CVSS: 6.5) conectado por Microsoft en marzo de 2025.
«La vulnerabilidad original mostró que las solicitudes especialmente creadas podrían causar autenticación NTLM y publicar calificaciones delicadas», dijo el investigador Reuben Enkauer. «Esta nueva vulnerabilidad (…) permite a los atacantes extraer el hash de NTLM sin la interacción del usuario, incluso en sistemas totalmente parcheados. Al aprovechar las brechas sutiles restantes en la mitigación, los atacantes pueden desencadenar automáticamente las solicitudes de autenticación de NTLM y permitir que el agrietamiento fuera de línea o los ataques de retransmisión obtengan acceso noautorizado».
Source link
