Microsoft lanzó el martes parches para 63 nuevas vulnerabilidades de seguridad identificadas en su software, incluida una que ha sido explotada activamente en la naturaleza.
De los 63 defectos, cuatro están clasificados como Críticos y 59 como Importantes en cuanto a su gravedad. Veintinueve de estas vulnerabilidades están relacionadas con la escalada de privilegios, seguidas de 16 de ejecución remota de código, 11 de divulgación de información, tres de denegación de servicio (DoS), dos de omisión de funciones de seguridad y dos errores de suplantación de identidad.
Los parches se suman a las 27 vulnerabilidades que el fabricante de Windows abordó en su navegador Edge basado en Chromium desde el lanzamiento de la actualización del martes de parches de octubre de 2025.
La vulnerabilidad de día cero que figura como explotada en la actualización del martes es CVE-2025-62215 (puntuación CVSS: 7.0), una falla de escalada de privilegios en el kernel de Windows. Se atribuye al Centro de inteligencia de amenazas de Microsoft (MSTIC) y al Centro de respuesta de seguridad de Microsoft (MSRC) el mérito de descubrir e informar el problema.
«La ejecución simultánea utilizando recursos compartidos con sincronización inadecuada (‘condición de carrera’) en el kernel de Windows permite a un atacante autorizado elevar privilegios localmente», dijo la compañía en un aviso.
Dicho esto, la explotación exitosa depende de que un atacante que ya se haya afianzado en un sistema gane una condición de carrera. Una vez que se cumple este criterio, podría permitir al atacante obtener privilegios del SISTEMA.
«Un atacante con acceso local con pocos privilegios puede ejecutar una aplicación especialmente diseñada que intente repetidamente desencadenar esta condición de carrera», dijo Ben McCarthy, ingeniero jefe de ciberseguridad de Immersive.
«El objetivo es conseguir que varios subprocesos interactúen con un recurso compartido del kernel de forma no sincronizada, confundiendo la gestión de la memoria del kernel y provocando que libere el mismo bloque de memoria dos veces. Esta ‘doble liberación’ exitosa corrompe el montón del kernel, permitiendo al atacante sobrescribir la memoria y secuestrar el flujo de ejecución del sistema».
Actualmente no se sabe cómo y quién está explotando esta vulnerabilidad, pero se considera que se utiliza como parte de una actividad posterior a la explotación para aumentar sus privilegios después de obtener acceso inicial a través de algún otro medio, como ingeniería social, phishing o explotación de otra vulnerabilidad, dijo Satnam Narang, ingeniero senior de investigación de Tenable.
«Cuando se encadena con otros errores, esta carrera del kernel es crítica: un RCE o un escape de sandbox pueden proporcionar la ejecución de código local necesaria para convertir un ataque remoto en una toma de control del SISTEMA, y un punto de apoyo inicial de bajos privilegios puede escalarse para deshacerse de las credenciales y moverse lateralmente», dijo Mike Walters, presidente y cofundador de Action1, en un comunicado.
También se parchearon como parte de las actualizaciones dos fallas de desbordamiento de búfer basadas en montón en el componente de gráficos de Microsoft (CVE-2025-60724, puntuación CVSS: 9.8) y el subsistema de Windows para la GUI de Linux (CVE-2025-62220, puntuación CVSS: 8.8) que podrían resultar en la ejecución remota de código.
Otra vulnerabilidad a destacar es una falla de escalada de privilegios de alta gravedad en Windows Kerberos (CVE-2025-60704, puntuación CVSS: 7,5) que aprovecha un paso criptográfico faltante para obtener privilegios de administrador. Silverfort ha denominado a la vulnerabilidad el nombre en código CheckSum.
«El atacante debe insertarse en la ruta lógica de la red entre el objetivo y el recurso solicitado por la víctima para leer o modificar las comunicaciones de la red», dijo Microsoft. «Un atacante no autorizado debe esperar a que un usuario inicie una conexión».
Los investigadores de Silverfort, Eliran Partush y Dor Segal, que descubrieron la deficiencia, la describieron como una vulnerabilidad de delegación restringida de Kerberos que permite a un atacante hacerse pasar por usuarios arbitrarios y obtener control sobre un dominio completo mediante un ataque de adversario en el medio (AitM).
Un atacante que pueda explotar con éxito la falla podría escalar privilegios y moverse lateralmente a otras máquinas de una organización. Lo que es más preocupante, los actores de amenazas también podrían obtener la capacidad de hacerse pasar por cualquier usuario de la empresa, permitiéndoles obtener acceso ilimitado o convertirse en administradores de dominio.
«Cualquier organización que utilice Active Directory, con la capacidad de delegación de Kerberos activada, se verá afectada», afirmó Silverfort. «Debido a que la delegación de Kerberos es una característica dentro de Active Directory, un atacante requiere acceso inicial a un entorno con credenciales comprometidas».
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han publicado actualizaciones de seguridad durante las últimas semanas para rectificar varias vulnerabilidades, entre ellas:
- Adobe
- Servicios web de Amazon
- AMD
- Manzana
- ASUS
- Atlassiano
- AutomatizaciónDirecta
- Bitdefender
- Broadcom (incluido VMware)
- cisco
- citrix
- ConectarWise
- Enlace D
- Dell
- Devoluciones
- drupal
- Elástico
- F5
- Fortinet
- GitLab
- android
- Google Chrome
- Nube de Google
- Raspar
- Energía Hitachi
- caballos de fuerza
- HP Enterprise (incluidos Aruba Networking y Juniper Networks)
- IBM
- Intel
- Ivanti
- Jenkins
- lenovo
- Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu
- MediaTek
- Mitsubishi Electrico
- MongoDB
- moxa
- Mozilla Firefox y Firefox ESR
- Nvidia
- Oráculo
- Redes de Palo Alto
- QNAP
- Qualcomm
- Automatización Rockwell
- Alboroto inalámbrico
- Samba
- Samsung
- SAVIA
- Electricidad Schneider
- siemens
- Vientos solares
- SonicWall
- Splunk
- Marco de primavera
- supermicro
- Sinología
- TP-Link
- Vigilancia y
- Zoom