Microsoft lanzó el martes correcciones para un conjunto masivo de 111 fallas de seguridad en su cartera de software, incluida una falla que se ha revelado como públicamente conocido en el momento del lanzamiento.
De las 111 vulnerabilidades, 16 están calificadas como críticas, 92 son importantes, dos son calificadas moderadas y una tiene una gravedad baja en gravedad. Cuarenta y cuatro de las vulnerabilidades se relacionan con la escalada de privilegios, seguido de la ejecución del código remoto (35), la divulgación de información (18), la falsificación (8) y los defectos de negación de servicio (4).
Esto se suma a 16 vulnerabilidades abordadas en el navegador de borde basado en Chromium de Microsoft desde el lanzamiento de la actualización del martes del martes del mes pasado, incluidos dos errores de falsificación que afectan a Edge para Android.
Entre las vulnerabilidades se incluye una vulnerabilidad de escalada de privilegios que impacta las implementaciones híbridas de Microsoft Exchange Server (CVE-2025-53786, puntaje CVSS: 8.0) que Microsoft divulgó la semana pasada.
El día cero revelado públicamente es CVE-2025-53779 (puntaje CVSS: 7.2), otro defecto de escalada de privilegios en Windows Kerberos que proviene de un caso de traversal de ruta relativa. El investigador de Akamai, Yuval Gordon, ha sido acreditado por descubrir e informar el error.
Vale la pena mencionar aquí que el problema fue documentado en detalle en mayo de 2025 por la compañía de infraestructura y seguridad web, lo que le dio el nombre de código codificado. La técnica novedosa esencialmente permite a un actor de amenaza con privilegios suficientes para comprometer un dominio de Active Directory (AD) mediante el uso indebido de objetos de la cuenta de servicio administrado (DMSA).
«La buena noticia aquí es que la explotación exitosa de CVE-2025-53779 requiere que un atacante tenga un control preexistente de dos atributos de la DMSA bien protegida bien protegida: MSDS-Groupmsamembership, que determina qué usuarios pueden usar credenciales para la cuenta de servicio administrado y MSDS administrado. Barnett, ingeniero de software principal de Rapid7, dijo a Hacker News.
«Sin embargo, el abuso de CVE-2025-53779 es ciertamente plausible como el eslabón final de una cadena multi-explotación que no se extiende desde acceso a un total de PWNAGE».
Mike Walters de Action1 señaló que un atacante puede ser abusado de la falla transversal del camino para crear relaciones de delegación inadecuadas, permitiéndoles suplantar cuentas privilegiadas, aumentar a un administrador de dominio y potencialmente obtener el control total del dominio del directorio activo.
«Un atacante que ya tiene una cuenta privilegiada comprometida puede usarlo para pasar de derechos administrativos limitados al control de dominio completo», agregó Walters. «También se puede combinar con métodos como ataques de kerberoasting o boletos de plata para mantener la persistencia».
«Con los privilegios del administrador del dominio, los atacantes pueden deshabilitar el monitoreo de seguridad, modificar la política de grupo y manipular los registros de auditoría para ocultar su actividad. En entornos múltiples u organizaciones con conexiones de socios, este defecto podría incluso aprovechar de un dominio comprometido a otros en un ataque de cadena de suministro».
Satnam Narang, ingeniero de investigación de personal senior de Tenable, dijo que el impacto inmediato del badsuccessor es limitado, ya que solo el 0.7% de los dominios de Active Directory habían cumplido con el requisito previo en el momento de la divulgación. «Para explotar el badsuccessor, un atacante debe tener al menos un controlador de dominio en un dominio que ejecuta Windows Server 2025 para lograr el compromiso del dominio», señaló Narang.
Algunas de las vulnerabilidades notables de clasificación crítica parcheadas por Redmond este mes están a continuación –
- CVE-2025-53767 (Puntuación CVSS: 10.0) – Azure Openai Elevación de vulnerabilidad de privilegios
- CVE-2025-53766 (Puntuación CVSS: 9.8) – Vulnerabilidad de ejecución de código remoto GDI+
- CVE-2025-50165 (Puntuación CVSS: 9.8) – Vulnerabilidad de ejecución de código remoto de componentes gráficos de Windows
- CVE-2025-53792 (Puntuación CVSS: 9.1) – Azure Portal Elevación de vulnerabilidad de privilegios
- CVE-2025-53787 (Puntuación CVSS: 8.2) – Vulnerabilidad de divulgación de información de Bizchat de Microsoft 365
- CVE-2025-50177 (Puntuación de CVSS: 8.1) – Vulnerabilidad de ejecución de código remoto de Microsoft Message SCOLEURUD (MSMQ)
- CVE-2025-50176 (Puntuación CVSS: 7.8) – Vulnerabilidad a la ejecución del código remoto del núcleo gráfico DirectX
Microsoft señaló que las tres CVE de servicio en la nube que afectan a Azure OpenAi, Azure Portal y Microsoft 365 Copilot Bizchat ya han sido remediados y que no requieren ninguna acción del cliente.
Check Point, que reveló CVE-2025-53766 junto con CVE-2025-30388, dijo que las vulnerabilidades permiten a los atacantes ejecutar código arbitrario en el sistema afectado, lo que lleva a un compromiso completo del sistema.
«El vector de ataque implica interactuar con un archivo especialmente elaborado. Cuando un usuario abre o procesa este archivo, se activa la vulnerabilidad, lo que permite al atacante tomar el control», dijo la compañía de seguridad cibernética.
La firma israelí reveló que también descubrió una vulnerabilidad en un componente a base de óxido del núcleo de Windows que puede dar lugar a un bloqueo del sistema que, a su vez, desencadena un reinicio duro.
«Para las organizaciones con fuerzas laborales grandes o remotas, el riesgo es significativo: los atacantes podrían explotar este defecto para bloquear simultáneamente numerosas computadoras en una empresa, lo que resulta en una interrupción generalizada y un tiempo de inactividad costoso», dijo Check Point. «Este descubrimiento destaca que incluso con tecnologías de seguridad avanzadas como el óxido, la vigilancia continua y el parcheo proactivo son esenciales para mantener la integridad del sistema en un entorno de software complejo».
Otra vulnerabilidad de importancia es CVE-2025-50154 (puntaje CVSS: 6.5), una vulnerabilidad de falsificación de divulgación de hash NTLM que en realidad es un bypass para un error similar (CVE-2025-24054, puntaje CVSS: 6.5) que Microsoft está enchufado en marzo de 2025.
«La vulnerabilidad original demostró cómo las solicitudes especialmente elaboradas podrían desencadenar la autenticación de NTLM y exponer credenciales sensibles», dijo el investigador de Cymulate Ruben Enkaoua. «Esta nueva vulnerabilidad (…) permite que un atacante extrae hashes NTLM sin ninguna interacción del usuario, incluso en sistemas totalmente parchados. Al explotar una brecha sutil que queda en la mitigación, un atacante puede activar las solicitudes de autenticación de NTLM automáticamente, permitiendo que el agrietamiento fuera de línea o los ataques de relevos para obtener acceso inautorizado».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas
- 7-Zip
- Adobe
- Servicios web de Amazon
- Amd
- Ami
- Manzana
- Brazo
- Asus
- Atlassiano
- Autodesk
- Comunicaciones del eje
- Bosch
- Broadcom (incluido VMware)
- Punto de control
- Cisco
- Codesys
- D-Link
- Dar a luz
- Drupal
- Elástico
- Emerson
- F5
- Fortinet
- Fortra
- Software Foxit
- Fujifilm
- Fujitsu
- Gigabyte
- Gitlab
- Google Android y Pixel
- Google Chrome
- Google Cloud
- Google Wear OS
- Redes de HMS
- HP
- HP Enterprise (incluida la red de Aruba)
- Huawei
- IBM
- Intel
- Marco
- Redes de enebro
- Lenovo
- Distribuciones de Linux Almalinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, Suse y Ubuntu
- Mediatokek
- Mitel
- Mitsubishi Electric
- Mox
- Mozilla Firefox, Firefox ESR y Thunderbird
- Nvidia
- Palo Alto Networks
- Qualcomm
- Rockwell Automation
- Salesforce
- Samsung
- SAVIA
- Schneider Electric
- Servicenow
- Siemens
- Viento solar
- Municipal
- Sófos
- Flojo
- Marco de primavera
- Supermicro
- Sinología
- TP-Link
- Tendencia micro
- Winrar
- fotocopia
- Zimbra
- Zoom, y
- Zyxel