Microsoft lanzó el martes actualizaciones de seguridad para abordar 57 vulnerabilidades de seguridad en su software, incluidos los seis días cero que, según él, han sido explotados activamente en la naturaleza.
De los 56 fallas, seis están clasificados como críticos, 50 tienen una calificación importante y uno tiene una gravedad de baja gravedad. Veintitrés de las vulnerabilidades abordadas son errores de ejecución de código remoto y 22 se relacionan con la escalada de privilegios.
Las actualizaciones se suman a 17 vulnerabilidades que Microsoft abordó en su navegador de borde basado en Chromium desde el lanzamiento de la actualización del martes del parche del mes pasado, uno de los cuales es una falla de falsificación específica para el navegador (CVE-2025-26643, puntaje CVSS: 5.4).
Las seis vulnerabilidades que han sido de explotación activa se enumeran a continuación –
- CVE-2025-24983 (Puntuación CVSS: 7.0)-Un subsistema de kernel de Windows Win32 Uso-después de la vulnerabilidad gratuita (UAF) que permite a un atacante autorizado elevar los privilegios localmente
- CVE-2025-24984 (Puntuación CVSS: 4.6): una vulnerabilidad de divulgación de información de Windows NTFS que permite a un atacante con acceso físico a un dispositivo objetivo y la capacidad de conectar una unidad USB maliciosa para leer porciones de memoria de montón
- CVE-2025-24985 (Puntuación CVSS: 7.8): una vulnerabilidad de desbordamiento entero en el controlador de sistema de archivos de grasa rápida de Windows que permite a un atacante no autorizado ejecutar código localmente
- CVE-2025-24991 (Puntuación CVSS: 5.5)-Una vulnerabilidad de lectura fuera de los límites en Windows NTFS que permite a un atacante autorizado divulgar información localmente
- CVE-2025-24993 (Puntuación CVSS: 7.8): una vulnerabilidad de desbordamiento de búfer basada en el montón en Windows NTFS que permite a un atacante no autorizado ejecutar el código localmente
- CVE-2025-26633 (Puntuación CVSS: 7.0): una vulnerabilidad de neutralización inadecuada en la consola de administración de Microsoft que permite a un atacante no autorizado evitar una función de seguridad localmente
A ESET, que se acredita al descubrir e informar CVE-2025-24983, dijo que descubrió por primera vez el exploit de día cero en la naturaleza en marzo de 2023 y se entregó a través de una puerta trasera llamada Pipemagic en anfitriones comprometidos.
«La vulnerabilidad es un uso gratuito en Win32k Driver», señaló la compañía eslovaca. «En un determinado escenario logrado utilizando la API WaitForInputidle, la estructura del proceso W32 se desactiva una vez más de lo que debería, lo que hace que UAF alcance la vulnerabilidad, se debe ganar una condición racial».
Pipemagic, descubierto por primera vez en 2022, es un troyano basado en complementos que ha dirigido a entidades en Asia y Arabia Saudita, con el malware distribuido en forma de una aplicación falsa de Operai Chatgpt a fines de las campañas de 2024.
«Una de las características únicas de Pipemagic es que genera una matriz aleatoria de 16 bytes para crear una tubería con nombre en el formato \. Pipe 1.
«Esta tubería se utiliza para recibir cargas útiles codificadas, las señales de detención a través de la interfaz local predeterminada. Pipemagic generalmente funciona con múltiples complementos descargados desde un servidor de comando y control (C2), que, en este caso, se alojó en Microsoft Azure».
La iniciativa Zero Day señaló que CVE-2025-26633 se deriva de cómo se manejan los archivos MSC, lo que permite a un atacante evadir las protecciones de reputación de archivos y ejecutar código en el contexto del usuario actual. La actividad se ha vinculado a un actor de amenaza rastreado como CiCrypThub (también conocido como larva-208).
Action1 señaló que los actores de amenaza podrían encadenar las cuatro vulnerabilidades que afectan los componentes del sistema de archivos de Windows Core para causar la ejecución de código remoto (CVE-2025-24985 y CVE-2025-24993) y la divulgación de información (CVE-2025-24984 y CVE-2025-24991). Los cuatro errores fueron reportados de forma anónima.
«Específicamente, el exploit se basa en el atacante que elabora un archivo VHD malicioso y convence a un usuario de abrir o montar un archivo VHD», dijo Kev Breen, director senior de investigación de amenazas en Immersive. «Los VHD son discos duros virtuales y generalmente se asocian con el almacenamiento del sistema operativo para máquinas virtuales».
«Si bien están más típicamente asociados con máquinas virtuales, hemos visto ejemplos a lo largo de los años en los que los actores de amenaza usan archivos VHD o VHDX como parte de las campañas de phishing para contrabandear las cargas de malware de malware pasadas AV Solutions. Dependiendo de la configuración de los sistemas de Windows, simplemente hacer clic en un archivo VHD en un archivo VHD podría ser suficiente para montar el contenedor y, por lo tanto, ejecutar cualquier carga de pagos en el archivo malicioso,».
Según Satnam Narang, ingeniero de investigación de personal senior en Tenable, CVE-2025-26633 es el segundo defecto en MMC en ser explotado en la naturaleza como un día cero después de CVE-2024-43572 y CVE-2025-24985 es la primera vulnerabilidad en el controlador de archivos rápidos de Windows desde marzo 2022. También es la primera en la exploitada en el día de la naturaleza.
Como es habitual, actualmente no se sabe que las vulnerabilidades restantes se están explotando, en qué contexto y la escala exacta de los ataques. El desarrollo ha llevado a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregarlos al catálogo de vulnerabilidades explotadas (KEV) conocidas, lo que requiere que las agencias federales apliquen las soluciones antes del 1 de abril de 2025.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para rectificar varias vulnerabilidades, incluidas, incluidas