Microsoft finalizó 2025 lanzando parches para 56 fallas de seguridad en varios productos en la plataforma Windows. Esto incluye una vulnerabilidad que se está explotando en la naturaleza.
De las 56 deficiencias, 3 fueron calificadas como críticas y 53 fueron calificadas como críticas. Otras dos fallas figuran como conocidas públicamente en el momento de la publicación. Estas incluyen 29 vulnerabilidades de escalada de privilegios, 18 de ejecución remota de código, 4 de divulgación de información, 3 de denegación de servicio y 2 de suplantación de identidad.
Según datos compilados por Fortra, Microsoft abordó un total de 1275 CVE en 2025. Sanam Narang de Tenable dijo que 2025 es también el segundo año consecutivo en que los fabricantes de Windows parchean más de 1000 CVE. Esta es la tercera vez que esto sucede desde el inicio del martes de parches.
Esta actualización se suma a 17 fallas que el gigante tecnológico ha solucionado en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de noviembre de 2025. Esto también incluye la vulnerabilidad de suplantación de identidad de Edge para iOS (CVE-2025-62223, puntuación CVSS: 4,3).
La vulnerabilidad explotada activamente es CVE-2025-62221 (puntuación CVSS: 7,8), que permite a un atacante autorizado escalar privilegios localmente y obtener privilegios del SISTEMA mediante el uso después de la liberación en el controlador Minifiltro de archivos en la nube de Windows.
«Los controladores de filtro del sistema de archivos, también conocidos como minifiltros, se conectan a la pila de software del sistema e interceptan las solicitudes destinadas al sistema de archivos, ampliando o reemplazando la funcionalidad proporcionada por el objetivo original», dijo Adam Barnett, ingeniero de software líder en Rapid7, en un comunicado. «Los casos de uso comunes incluyen cifrado de datos, copias de seguridad automatizadas, compresión sobre la marcha y almacenamiento en la nube».
«El minifiltro Cloud Files es utilizado por OneDrive, Google Drive, iCloud y más, pero como componente central de Windows, todavía está presente en sistemas que no tienen ninguna de estas aplicaciones instaladas».
Actualmente se desconoce cómo y bajo qué circunstancias se podría explotar esta vulnerabilidad en la naturaleza, pero una explotación exitosa requeriría que un atacante obtuviera acceso a un sistema susceptible a través de otros medios. A Microsoft Threat Intelligence Center (MSTIC) y Microsoft Security Response Center (MSRC) se les atribuye el descubrimiento y el informe de esta falla.
Según Mike Walters, presidente y cofundador de Action1, los atacantes pueden obtener acceso con pocos privilegios a través de métodos como phishing, exploits del navegador web u otro fallo conocido de ejecución remota de código y encadenar con CVE-2025-62221 para tomar el control de un host.
Un atacante podría utilizar este acceso para implementar componentes del kernel, explotar controladores firmados para evadir las defensas y mantener la persistencia, o utilizarlo como arma para lograr un compromiso en todo el dominio cuando se combina con escenarios de robo de credenciales.
La explotación de CVE-2025-62221 llevó a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarlo al Catálogo de vulnerabilidades explotadas conocidas (KEV) y exigir a las agencias del Poder Ejecutivo Civil Federal (FCEB) que lo parcheen antes del 30 de diciembre de 2025.
Los dos días cero restantes son:
CVE-2025-54100 (Puntuación CVSS: 7,8): una vulnerabilidad de inyección de comandos en Windows PowerShell permite a un atacante sin privilegios ejecutar código localmente. CVE-2025-64671 (puntuación CVSS: 8,4): una vulnerabilidad de inyección de comandos en GitHub Copilot para JetBrains permite a un atacante sin privilegios ejecutar código localmente.
Alex Vovk de Action1 dice sobre CVE-2025-54100: «Este es un defecto de inyección de comandos en la forma en que Windows PowerShell maneja el contenido web». «Esto permite a un atacante no autenticado ejecutar código arbitrario en el contexto de seguridad de un usuario que ejecuta un comando PowerShell diseñado, como Invoke-WebRequest».
«Esta amenaza se vuelve significativa cuando esta vulnerabilidad se combina con patrones de ataque comunes. Por ejemplo, un atacante podría usar ingeniería social para convencer a un usuario o administrador de usar Invoke-WebRequest para ejecutar un fragmento de PowerShell. Esto podría permitir que un servidor remoto desencadene una falla de análisis y devuelva contenido diseñado que conduzca a la ejecución del código y la implementación del implante».
Vale la pena señalar que CVE-2025-64671 es el resultado de vulnerabilidades de seguridad generalizadas, conocidas colectivamente como IDEsaster, reveladas recientemente por el investigador de seguridad Ari Marzouk. Este problema se produce como resultado de agregar funcionalidad de agente a un entorno de desarrollo integrado (IDE), lo que expone nuevos riesgos de seguridad en el proceso.
Estos ataques aprovechan la inyección rápida en agentes de inteligencia artificial (IA) integrados en el IDE y los combinan con la capa base del IDE para provocar la divulgación de información y la ejecución de comandos.
«Esto no es parte de la nueva cadena de ataque de IDEsaster, ya que utiliza la ‘vieja’ cadena de ataque de una herramienta vulnerable», dijo a The Hacker News Marzouk, a quien se le atribuye haber descubierto y reportado la falla. «Específicamente, es una herramienta de ‘ejecución de comandos’ vulnerable que puede eludir las listas de permitidos configuradas por el usuario».
Marzouk también dijo que se descubrió que varios IDE eran vulnerables al mismo ataque, incluidos Kiro.dev, Cursor (CVE-2025-54131), JetBrains Junie (CVE-2025-59458), Gemini CLI, Windsurf y Roo Code (CVE-2025-54377, CVE-2025-57771). CVE-2025-65946). Además, se ha descubierto que GitHub Copilot para Visual Studio Code es susceptible a esta vulnerabilidad, pero en este caso Microsoft le ha asignado una clasificación de gravedad «Moderada» sin CVE.
«Esta vulnerabilidad indica que es posible ejecutar código en un host afectado engañando a LLM para que ejecute comandos que eludan las barreras de seguridad y agregue instrucciones a la configuración de ‘aprobación automática’ de un usuario», dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive.
«Esto se puede lograr mediante la ‘inyección de mensajes cruzados’, en la que el agente LLM, en lugar del usuario, modifica el mensaje creando su propio mensaje basado en el contenido de los archivos o datos recuperados de los servidores Model Context Protocol (MCP), que se están volviendo cada vez más populares en los LLM basados en agentes».
Parches de software de otros proveedores
En las últimas semanas, además de Microsoft, otros proveedores han lanzado actualizaciones de seguridad que corrigen múltiples vulnerabilidades, entre ellas:
Adobe Amazon Web Services AMD Arm ASUS Atlassian Bosch Broadcom (incluye VMware) Canon Cisco Citrix CODESYS Dell Devolutions Drupal F5 Fortinet Fortra GitLab Google Android y Pixel Google Chrome Google Cloud Google Pixel Watch Hitachi Energy HP HP Enterprise (incluye Aruba Networking y Juniper Networks) IBM Imagination Technologies Intel Ivanti Lenovo Linux Distributions AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu MediaTek Mitsubishi Electric MongoDB Moxa Mozilla Firefox y Firefox ESR NVIDIA OPPO Progress Software Qualcomm React Rockwell Automation Samsung SAP Schneider Electric Siemens SolarWinds Splunk Synology TP-Link WatchGuard Zoom y Zyxel
Source link
