Microsoft ha dejado caer un total de 57 correcciones para marcar la actualización del tercer parche el martes de 2025, aumentando a más de 70 cuando se tienen en cuenta vulnes de terceros, incluidos seis días cero y seis defectos críticos que necesitan atención urgente.
Los días cero comprenden una función de característica de seguridad en la consola de administración de Microsoft, dos problemas de ejecución de código remoto (RCE) en Windows Fast Fat System Driver y Windows NTFS, dos vulnerabilidades de divulgación de información en Windows NTFS y una falla de escalada privilegiada en Windows Win32 Kernel Subsystem.
Todos están listados como explotados por Microsoft, pero aún no se han hecho públicos, y todos se consideran importantes en su gravedad, llevando puntajes CVSS que varían de 4.6 a 7.8.
Una séptima vulnerabilidad, un problema de RCE en el acceso de Windows, ha sido incluido como público, pero no parece ser explotado activamente al momento de escribir.
Las seis vulnerabilidades críticas, que transportan puntajes CVSS de 7.8 a 8.8, son todos los defectos de RCE. Dos de ellos afectan los servicios de escritorio remotos de Windows, y los otros cuatro se relacionan con Microsoft Office, el servicio de nombres de dominio de Windows, el cliente de escritorio remoto y el subsistema de Windows para el núcleo Linux.
“Las seis vulnerabilidades que Microsoft ha etiquetado como exploit detectada se resuelven con la actualización acumulativa mensual”, dijo Tyler Reguly, director asociado de investigación y desarrollo de seguridad de Fortra.
“Esto significa una sola actualización para lanzar para solucionar todos estos a la vez. Afortunadamente, ninguno de ellos requiere pasos de configuración posteriores al parche. Lo mismo es cierto para cinco de las seis vulnerabilidades de gravedad crítica. Muchas de nuestras soluciones importantes provienen del mismo parche.
“La vulnerabilidad crítica restante, CVE-2025-24057 y la vulnerabilidad revelada públicamente, CVE-2025-26630, requieren actualizaciones de la oficina. Para aquellos que ejecutan clic para correr, no hay mucho que hacer, pero para aquellos que ejecutan Office 2016, hay dos parches para instalar, uno para oficina y otro para acceder “, agregó.
Reguly dijo que afortunadamente, esto limitó la cantidad de parches necesarios para resolver los defectos que llaman la atención. “Sin embargo”, dijo, “son artículos de boletos grandes y con titulares que pueden indicar, Microsoft Patches seis vulnerabilidades de 0 díaslos administradores probablemente tendrán muchas preguntas que responder sobre el estado de sus parches ”.
Artículos de gran boleto: grandes impactos
Al evaluar estos artículos de gran boleto en un poco más de profundidad, el inmersivo director senior de investigación de amenazas, Kev Breen dijo que los fallas NTFS y Fat RCE probablemente garantizan la mayor atención. Estos defectos forman parte de una cadena con las dos vulnerabilidades de divulgación de información NTFS.
“Estas cuatro CVE están relacionadas con una vulnerabilidad de ejecución de código remoto que está asociada con el montaje de archivos de disco duro virtual (VHD). Estos se rastrean por separado como CVE-2025-24984, CVE-2025-24985, CVE-2025-24991 y CVE-2025-24993, por lo que cuando se trata de la gestión de parches, se asegure de que los cuatro estén cubiertos.
Breen explicó que la cadena de exploit se basa en que el atacante convence a un usuario de que abra o monte un archivo de disco duro virtual (VHD). Típicamente se usan para almacenar sistemas operativos para máquinas virtuales y, aunque más generalmente se asocian con las máquinas virtuales, se han reducido a los años en los que dichos archivos se han utilizado para contrabando cargas de malware en los sistemas de destino.
“Dependiendo de la configuración de los sistemas de Windows, simplemente hacer doble clic en un archivo VHD podría ser suficiente para montar el contenedor y, por lo tanto, ejecutar cualquier carga útil contenida en el archivo malicioso”, dijo Breen. “Las organizaciones deben consultar sus herramientas de seguridad para cualquier archivo VHD que se envíe por correo electrónico o descargado desde Internet y buscar agregar reglas de seguridad o bloques para estos tipos de archivos donde no se requieren”.
Mientras tanto, Alex Vovk, CEO y cofundador de Action1, consideró algunas de las implicaciones de la falla de Windows Win32 Kernel EOP, rastreada como CVE-2025-24984.
“CVE-2025-24983 proporciona una ruta directa desde bajos privilegios hasta acceso al sistema, lo que lo convierte en un objetivo atractivo para los atacantes con acceso inicial a través de phishing, malware, credenciales comprometidas o amenazas internos”, dijo Vovk.
“Aunque clasificados como una alta complejidad, los atacantes con recursos bien recursos, incluidos los grupos patrocinados por el estado y las organizaciones cibernéticas, han superado históricamente tales limitaciones a través de la automatización e intentos repetidos. Las vulnerabilidades de acondicionamiento de la carrera en los subsistemas de núcleo han demostrado ser de manera confiable explotable, dada la persistencia del atacante suficiente y la previsibilidad del medio ambiente.
“Las organizaciones que dependen en gran medida de la infraestructura de Windows, incluidas empresas, gobiernos y sectores de infraestructura crítica, están en riesgo. Las vulnerabilidades de escalada de privilegios a nivel de núcleo siguen siendo muy valiosos para los atacantes, ya que sirven como un punto de pivote clave en los ataques cibernéticos avanzados, lo que permite una infiltración de red más profunda y un acceso persistente “, dijo Vovk.