Microsoft comenzó 2025 con fuerza el segundo martes de enero, lanzando una actualización masiva del martes de parches que contiene correcciones para 159 vulnerabilidades, aumentando a 161 incorporando dos vulnerabilidades adicionales a través de CERT CC y GitHub.
Según Dustin Childs de Zero Day Initiative, este puede ser el mayor número de CVE abordados en un mes desde 2017; de hecho, es más del triple del número (49) solucionado en esta época el año pasado, y sigue a otra actualización inusualmente intensa en diciembre. .
“[This] podría ser una señal siniestra para los niveles de parches en 2025”, escribió Childs en su blog de resumen habitual. “Será interesante ver cómo se desarrolla este año”.
Tyler Reguly, director asociado de investigación y desarrollo de seguridad de Fortra, estuvo de acuerdo: “Este es definitivamente uno de esos meses en los que los administradores necesitan dar un paso atrás, respirar profundamente y determinar su plan de ataque.
“Si bien una gran cantidad de estas vulnerabilidades se resolverán con la actualización acumulativa de Windows, hay una gran cantidad de otros programas afectados, incluidos varios productos de Office (Word, Excel, Access, Outlook, Visio y SharePoint), así como otros productos de Microsoft. productos como .NET, .NET Framework y Visual Studio.
“Meses como estos son una gran [reminder] que los administradores deben confiar en sus proveedores y sus herramientas”, afirmó Reguly. “Reparar 161 vulnerabilidades no puede ser un proceso completamente manual, especialmente porque sabemos que hoy se están lanzando algo más que parches de Microsoft. Adobe, por ejemplo, lanzó actualizaciones para Photoshop, Substance3D Stager, Illustrator para iPad, Animate y Adobe Substance3D Designer.
“Parchear las vulnerabilidades no debería ser una tarea solitaria en la empresa y, si lo es, puede que sea el momento de hablar con su liderazgo sobre cambios de personal y herramientas”.
Días cero
Entre la abundante cosecha de vulnerabilidades se encuentran nada menos que ocho de día cero, tres que se sabe que han sido explotadas en estado salvaje y 11 fallas críticas.
Los días cero de este mes son los siguientes:
- CVE-2025-21333, una vulnerabilidad de elevación de privilegios (EoP) en Windows Hyper-V NT Kernel VSP;
- CVE-2025-21334, una segunda vulnerabilidad EoP en el mismo servicio;
- CVE-2025-21335, una tercera vulnerabilidad EoP en el mismo servicio.
Se sabe que estas fallas en Windows Hyper-V NT Kernel VSP han sido explotadas en la naturaleza, pero estas vulnerabilidades aún no se han hecho públicas, mientras que para los cinco restantes, ocurre lo contrario. Estos son:
Saaed Abbasi, gerente de vulnerabilidades de la Unidad de Investigación de Amenazas de Qualys, dijo que parchear oportunamente los problemas de Hyper-V era fundamental ya que están bajo ataque activo.
“Permiten que un usuario autenticado eleve privilegios a SISTEMA y le permita tomar el control total del entorno afectado”, dijo Abbasi.
“Por lo general, pasar de invitado a host/hipervisor indica un CVSS [Common Vulnerability Scoring System] cambio de alcance, pero la divulgación actual de Microsoft no lo ha confirmado explícitamente, lo que sugiere que se necesitan más detalles; Esto podría poner en peligro toda la infraestructura del host, no solo la máquina virtual individual. [virtual machine].”
Un actor de amenazas capaz de obtener privilegios a nivel de SISTEMA es una gran preocupación para los defensores, porque abre la puerta a otras acciones, como deshabilitar las herramientas de seguridad integradas o el volcado de credenciales para pivotar entre dominios dentro del entorno de destino. Estas técnicas son utilizadas con frecuencia tanto por bandas de ciberdelincuentes con motivación financiera como por operadores de espionaje respaldados por estados nacionales.
¿Aceptas o no Access?
Mientras tanto, Adam Barnett, ingeniero de software líder en Rapid7, analizó tres problemas similares de RCE en Microsoft Access.
Barnett detalló cómo una explotación exitosa, en caso de que ocurriera, requeriría que se engañara al usuario para que descargara y abriera un archivo malicioso, lo que llevaría a la ejecución del código a través de un desbordamiento del búfer basado en el montón.
“Curiosamente, en cada caso, una parte de las preguntas frecuentes del aviso describe la protección de actualización como ‘bloquear el envío de extensiones potencialmente maliciosas en un correo electrónico’, pero el resto del aviso no aclara cómo esto evitaría la actividad maliciosa”, dijo Barnett.
“Por lo general, los parches brindan protección bloqueando archivos maliciosos al recibir un archivo adjunto de correo electrónico malicioso, en lugar de evitar que se envíe un archivo adjunto malicioso en primer lugar, ya que un atacante es libre de enviar lo que quiera desde cualquier sistema que controle.
“En cualquier caso, las preguntas frecuentes mencionan que los usuarios que de otro modo habrían interactuado con un archivo adjunto malicioso recibirán una notificación de que había un archivo adjunto pero que ‘no se puede acceder a él’, lo cual es quizás el mejor juego de palabras que hemos visto. de MSRC en un tiempo”, dijo.
En cuanto a la falla de suplantación de identidad en Temas de Windows, Barnett dijo que muchos administradores y usuarios pueden no pensar en esta característica, que permite a los usuarios personalizar sus escritorios con imágenes de fondo, protectores de pantalla, etc., muy a menudo, si es que lo hacen, pero aún así es esencial pagar. mucha atención a todos los aspectos del patrimonio de Windows.
“La explotación exitosa conduce a la divulgación inadecuada de un hash NTLM, lo que permite a un atacante hacerse pasar por el usuario del que fue adquirido”, dijo.
“Las preguntas frecuentes consultivas dan vueltas en torno a la metodología de explotación sin dar explicaciones; lo que aprendemos es que una vez que un atacante de alguna manera entregó un archivo malicioso al sistema objetivo, un usuario necesitaría manipular el archivo malicioso, pero no necesariamente hacer clic en él o abrirlo.
“Sin más detalles, solo podemos especular, pero es posible que simplemente abrir una carpeta que contenga el archivo en el Explorador de Windows, incluida la carpeta de Descargas, o insertar una unidad USB, sea suficiente para activar la vulnerabilidad y ver su hash NTLM filtrarse silenciosamente. para su cobro por parte del actor de la amenaza”.