Microsoft envió correcciones el martes para abordar un total de 78 fallas de seguridad en su línea de software, incluido un conjunto de cinco días cero que han sido de explotación activa en la naturaleza.
De los 78 fallas resueltas por el gigante tecnológico, 11 están calificados como críticos, 66 tienen una calificación importante y uno tiene una gravedad baja. Veintiocho de estas vulnerabilidades conducen a la ejecución de código remoto, 21 de ellos son errores de escalada de privilegios y otros 16 se clasifican como fallas de divulgación de información.
Las actualizaciones se suman a ocho defectos de seguridad más parcheados por la compañía en su navegador de borde basado en Chromium desde el lanzamiento de la actualización del martes del Patch Mold del mes pasado.
Las cinco vulnerabilidades que han sido de explotación activa en la naturaleza se enumeran a continuación –
- CVE-2025-30397 (Puntuación CVSS: 7.5) – Vulnerabilidad de corrupción de la memoria del motor de secuencia de comandos
- CVE-2025-30400 (Puntuación CVSS: 7.8) – Microsoft Desktop Window Manager (DWM) Elevación de la biblioteca de la biblioteca de privilegios Vulnerabilidad
- CVE-2025-32701 (Puntuación CVSS: 7.8) – Windows Common Log File System (CLFS) Elevación del controlador de privilegio Vulnerabilidad
- CVE-2025-32706 (Puntuación CVSS: 7.8) – Windows Common Log File System Worly Elevación del controlador de privilegios Vulnerabilidad
- CVE-2025-32709 (Puntuación de CVSS: 7.8) – Windows Funking Window Windo
Si bien los primeros tres defectos se han acreditado al propio equipo de inteligencia de amenazas de Microsoft, Benoit Sevens de Google Threat Intelligence Group y el equipo de investigación avanzada de CrowdStrike han sido reconocidos por el descubrimiento de CVE-2025-32706. Un investigador anónimo ha sido acreditado por informar CVE-2025-32709.
«Se ha identificado otra vulnerabilidad de día cero en el motor de secuencias de comandos de Microsoft, un componente clave utilizado por Internet Explorer e Internet Explorer Mode en Microsoft Edge», dijo Alex Vovk, CEO y cofundador de Action1, sobre CVE-2025-30397.
«Los atacantes pueden explotar el defecto a través de una página web o script malicioso que hace que el motor de secuencias de comandos malinterpreta los tipos de objetos, lo que resulta en la corrupción de la memoria y la ejecución del código arbitrario en el contexto del usuario actual. Si el usuario tiene privilegios administrativos, los atacantes podrían obtener el control total del sistema, lo que permite el robo de datos, la instalación de malware y el movimiento posterior en las redes».
CVE-2025-30400 es el tercer defecto de escalada de privilegios en la biblioteca de núcleo DWM para ser armado en la naturaleza desde 2023. En mayo de 2024, Microsoft emitió parches para CVE-2024-30051, que Kaspersky dijo que se usó en ataques que distribuyen Qakbot (Aka Qwaking Mantis) malware.
«Desde 2022, Patch el martes ha abordado 26 elevación de vulnerabilidades de privilegios en DWM», dijo Satnam Narang, ingeniero de investigación de personal senior de Tenable, en un comunicado compartido con Hacker News.
«De hecho, el lanzamiento de abril de 2025 incluyó correcciones para cinco vulnerabilidades de elevación de privilegios de la biblioteca DWM.
CVE-2025-32701 y CVE-2025-32706 son las fallas de escalada de privilegio séptimo y octavo que se descubrieron en el componente CLFS y se han explotado en los ataques reales en los ataques de los Estados Unidos en los Estados Unidos, Venezulas, Venezuela, CVE-2025-29824 fue explotado en ataques limitados a las compañías de Target en los Estados Unidos, Venezuela, Venezuela, CVE-2025-29824 fue explotado en los ataques limitados a las compañías de Target en los Estados Unidos, Venezuela, VeneElaeLa, veneEZUELA, VENEELALA, VENEEZALA, VENEEZALA, VENEEZALA, CVE-CVE-2025-29824 Arabia Saudita.
También se dice que CVE-2025-29824 fue explotado como un día cero por actores de amenaza vinculados a la familia de ransomware de juego como parte de un ataque dirigido a una organización no identificada en los Estados Unidos, Symantec, propiedad de Broadcom, reveló a principios de este mes.
CVE-2025-32709, del mismo modo, es el tercer defecto de escalada de privilegios en el controlador de funciones auxiliares para que el componente Winsock haya sido abusado en un lapso de un año, después de CVE-2024-38193 y CVE-2025-21418. Vale la pena señalar que la explotación de CVE-2024-38193 se ha atribuido al grupo Lázaro vinculado a Corea del Norte.
El desarrollo ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) a agregar las cinco vulnerabilidades a su catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que requiere que las agencias federales apliquen las soluciones antes del 3 de junio de 2025.
La actualización de Microsoft Patch Tuesday también aborda un error de escalada de privilegios en Microsoft Defender para el punto final para Linux (CVE-2025-26684, puntaje CVSS: 6.7) que podría permitir a un atacante autorizado elevar los privilegios localmente.
El investigador de Stratascale, Rich Mirch, quien es uno de los dos investigadores, reconoció por informar la vulnerabilidad, dijo que el problema está enraizado en una script Python Helper que incluye una función («Grab_java_version ()») para determinar la versión Java Runtime Time (JRE).
«La función determina la ubicación del binario Java en el disco verificando el /proc /
Otro defecto notable es una vulnerabilidad de falsificación que afecta a Microsoft Defender para la identidad (CVE-2025-26685, puntaje CVSS: 6.5) que permite a un atacante con acceso LAN para realizar su falsificación en una red adyacente.
«La característica de detección de ruta de movimiento lateral puede ser explotada potencialmente por un adversario para obtener un hash NTLM», dijo Adam Barnett, ingeniero de software principal de Rapid7, en un comunicado. «Las credenciales comprometidas en este caso serían las de la cuenta de servicios de directorio, y la explotación se basa en lograr el retroceso de Kerberos a NTLM».
La vulnerabilidad con la máxima severidad es CVE-2025-29813 (puntaje CVSS: 10.0), una falla de escalada de privilegios en el servidor Azure DevOps que permite a un atacante no autorizado elevar los privilegios sobre una red. Microsoft dijo que la deficiencia ya se ha implementado en la nube y que no se requiere acción por parte de los clientes.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas