Microsoft publicó el martes correcciones para hasta 183 fallas de seguridad en sus productos, después de que el gigante tecnológico finalizara oficialmente el soporte para el sistema operativo Windows 10 a menos que la PC estuviera inscrita en el programa de Actualizaciones de seguridad extendidas (ESU). Esto incluye tres vulnerabilidades que se están explotando en la naturaleza.
De las 183 vulnerabilidades, 8 son CVE no publicadas por Microsoft. Hubo 165 fallas calificadas como «importantes», seguidas de 17 fallas calificadas como «graves» y una falla calificada como «mediana». La mayoría están relacionadas con vulnerabilidades de elevación de privilegios (84), y el resto son ejecución remota de código (33), divulgación de información (28), suplantación de identidad (14), denegación de servicio (11) y omisión de funciones de seguridad (11).
Esta actualización se suma a las 25 vulnerabilidades que Microsoft ha solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de septiembre de 2025.
Dos días cero de Windows que se están explotando activamente son:
CVE-2025-24990 (Puntuación CVSS: 7,8) – Controlador de módem Agere de Windows (‘ltmdm64.sys’) Vulnerabilidad de elevación de privilegios CVE-2025-59230 (Puntuación CVSS: 7,8) – Vulnerabilidad de elevación de privilegios del Administrador de conexión de acceso remoto de Windows (RasMan)
Microsoft dijo que ambos problemas podrían permitir a un atacante ejecutar código con privilegios elevados, pero actualmente no hay indicios de cómo podrían explotarse o qué tan extendido sería el esfuerzo. En el caso de CVE-2025-24990, la compañía dijo que planea eliminar el controlador por completo en lugar de publicar parches para componentes tradicionales de terceros.
Alex Vovk, director ejecutivo y cofundador de Action1, describió la falla de seguridad como «peligrosa», porque tiene su origen en un código heredado que se instala de forma predeterminada en todos los sistemas Windows, independientemente de si el hardware asociado está presente o en uso.
«El controlador vulnerable se incluye con todas las versiones de Windows hasta Server 2025», dijo Adam Barnett, ingeniero de software principal de Rapid7. «Quizás su módem de fax utiliza un conjunto de chips diferente y por lo tanto no requiere el controlador Agere. Quizás simplemente descubrió su correo electrónico. Lástima. Su PC aún es vulnerable y un atacante local con una cuenta con los privilegios mínimos podría escalar al estado de administrador».
CVE-2025-59230 es la primera vulnerabilidad de RasMan que se explota como día cero, según Satnam Nanang, ingeniero de investigación senior de Tenable. Microsoft ha solucionado más de 20 fallos en el componente desde enero de 2022.
La tercera vulnerabilidad explotada en el ataque real se refiere al caso de omisión de arranque seguro en IGEL OS anterior a 11 (CVE-2025-47827, puntuación CVSS: 4,6). Los detalles de esta falla los hizo públicos por primera vez el investigador de seguridad Zach Didcott en junio de 2025.
«El impacto de la omisión de arranque seguro puede ser significativo, ya que un actor de amenazas podría implementar un rootkit a nivel de kernel para obtener acceso al sistema operativo IGEL y, a su vez, manipular el escritorio virtual, incluida la captura de credenciales», dijo Kev Breen, director senior de investigación de amenazas en Immersive.
«Tenga en cuenta que este no es un ataque remoto y que normalmente se requiere acceso físico para explotar este tipo de vulnerabilidad, lo que significa que es un ataque estilo ‘criada malvada’ que probablemente afecte a los empleados que viajan con frecuencia».
Desde entonces, los tres problemas se han agregado al Catálogo de vulnerabilidades explotadas conocidas (KEV) de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), y las agencias federales deben parchearlos antes del 4 de noviembre de 2025.
Otras vulnerabilidades críticas notables incluyen el error de ejecución remota de código (RCE) de Windows Server Update Service (WSUS) (CVE-2025-59287, puntuación CVSS: 9,8), la implementación de referencia TPM2.0 de Trusted Computing Group (TCG) Función auxiliar CryptHmacSign vulnerabilidad de lectura fuera de límites (CVE-2025-2884, puntuación CVSS: 5,3) y Windows RCE en URL análisis (CVE-2025-59295, 8.8).
«Un atacante podría aprovechar esto construyendo cuidadosamente una URL maliciosa», dijo Ben McCarthy, ingeniero principal de ciberseguridad de Immersive. «Los datos desbordados se pueden diseñar para sobrescribir datos críticos del programa, como punteros de función y punteros de tabla de funciones virtuales de objetos (vtable)».
«Cuando la aplicación intenta utilizar este puntero corrupto, en lugar de llamar a una función legítima, redirige el flujo de ejecución del programa a una dirección de memoria controlada por el atacante. Esto permite al atacante ejecutar código arbitrario (shellcode) en el sistema de destino».
Las dos vulnerabilidades con las puntuaciones CVSS más altas en la actualización de este mes están relacionadas con la falla de escalada de privilegios del componente de gráficos de Microsoft (CVE-2025-49708, puntuación CVSS: 9,9) y la omisión de la función de seguridad ASP.NET (CVE-2025-55315, puntuación CVSS: 9,9).
Aunque CVE-2025-55315 requiere que un atacante se autentique primero, se puede aprovechar para eludir subrepticiamente los controles de seguridad y realizar acciones maliciosas alimentando subrepticiamente una segunda solicitud HTTP maliciosa dentro del cuerpo de la primera solicitud autenticada.
«Las organizaciones deben priorizar parchear esta vulnerabilidad porque anula la promesa de seguridad central de la virtualización», dijo McCarthy sobre CVE-2025-49708, caracterizándolo como una falla de alto impacto que podría conducir a un escape completo de la máquina virtual (VM).
«Un exploit exitoso significaría que un atacante podría comprometer incluso una sola VM invitada no crítica con acceso de privilegios bajos y ejecutar código directamente con privilegios de SISTEMA en el servidor host subyacente. Esta falla de aislamiento significa que el atacante podría acceder, manipular o destruir datos en todas las demás VM que se ejecutan en el mismo host, como controladores de dominio, bases de datos y aplicaciones de producción de misión crítica».
Source link
