Microsoft cerró 2025 con parches para 56 vulnerabilidades en varios productos de la plataforma Windows, incluida una vulnerabilidad que fue explotada activamente.
De los 56 defectos, tres están catalogados como críticos y 53 como graves. Dos deficiencias adicionales se enumeran como de conocimiento público al momento de la publicación. Estas incluyen 29 vulnerabilidades de escalada de privilegios, 18 vulnerabilidades de ejecución remota de código, cuatro vulnerabilidades de divulgación de información, tres vulnerabilidades de denegación de servicio y dos vulnerabilidades de suplantación de identidad.
En total, Microsoft abordó un total de 1.275 CVE en 2025, según Fortra. Satnam Narang de Tenable dijo que 2025 también marca el segundo año consecutivo en el que el fabricante de Windows parcheó más de 1.000 CVE. Esta es la tercera vez desde que se introdujo el martes de parches.
La actualización se suma a las 17 fallas que el gigante tecnológico ha corregido en su navegador Edge basado en Chromium desde que lanzó la actualización del martes de parches de noviembre de 2025. Esto también incluye una vulnerabilidad de suplantación de identidad en Edge para iOS (CVE-2025-62223, puntuación CVSS: 4,3).
La vulnerabilidad que se está explotando activamente es CVE-2025-62221 (puntuación CVSS: 7,8), un uso después de la liberación en el controlador de minifiltro de archivos en la nube de Windows que podría permitir a un atacante autorizado elevar los privilegios localmente y obtener privilegios del SISTEMA.
“Los controladores de filtro del sistema de archivos, también llamados minifiltros, se conectan a la pila de software del sistema, interceptan las solicitudes dirigidas a un sistema de archivos y extienden o reemplazan la funcionalidad proporcionada por el objetivo original”, dijo en un comunicado Adam Barnett, ingeniero de software senior de Rapid7. “Los casos de uso típicos incluyen cifrado de datos, copias de seguridad automatizadas, compresión sobre la marcha y almacenamiento en la nube”.
“OneDrive, Google Drive, iCloud y otros utilizan el minifiltro de archivos en la nube, aunque como componente central de Windows todavía estaría presente en un sistema que no tuviera ninguna de estas aplicaciones instaladas”.
Actualmente se desconoce cómo y en qué contexto se explota la vulnerabilidad. Sin embargo, para que la explotación tenga éxito, un atacante debe obtener acceso a un sistema vulnerable por otros medios. Al Centro de inteligencia de amenazas de Microsoft (MSTIC) y al Centro de respuesta de seguridad de Microsoft (MSRC) se les atribuye el descubrimiento y el informe de la falla.
Según Mike Walters, presidente y cofundador de Action1, un actor de amenazas podría obtener acceso a ataques con pocos privilegios a través de métodos como phishing, exploits de navegador web u otra falla conocida de ejecución remota de código y luego vincularlo a CVE-2025-62221 para tomar el control del host.
Armado con este acceso, el atacante podría implementar componentes del kernel o abusar de los controladores firmados para eludir las defensas y mantener la persistencia, y puede usarse como arma para lograr un compromiso en todo el dominio en combinación con escenarios de robo de credenciales.
La explotación de CVE-2025-62221 ha llevado a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a agregarlo al Catálogo de vulnerabilidades explotadas conocidas (KEV) y exigir a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen el parche antes del 30 de diciembre de 2025.
Los dos días cero restantes se enumeran a continuación:
- CVE-2025-54100 (Puntuación CVSS: 7,8): una vulnerabilidad de inyección de comandos en Windows PowerShell que permite a un atacante no autorizado ejecutar código localmente
- CVE-2025-64671 (Puntuación CVSS: 8.4): una vulnerabilidad de inyección de comandos en GitHub Copilot para JetBrains que permite a un atacante no autorizado ejecutar código localmente
“Ésta es una falla de inyección de comandos en el manejo de contenido web por parte de Windows PowerShell”, dijo Alex Vovk de Action1 sobre CVE-2025-54100. “Esto permite que un atacante no autenticado ejecute código arbitrario en el contexto de seguridad de un usuario que ejecuta un comando PowerShell diseñado como Invoke-WebRequest”.
“La amenaza se vuelve significativa cuando esta vulnerabilidad se combina con patrones de ataque comunes. Por ejemplo, un atacante puede usar ingeniería social para engañar a un usuario o administrador para que ejecute un fragmento de PowerShell usando Invoke-WebRequest, lo que permite que un servidor remoto devuelva contenido diseñado que desencadena el error de análisis y conduce a la ejecución del código y la implementación del implante”.
Vale la pena señalar que CVE-2025-64671 surge a raíz de un conjunto más amplio de vulnerabilidades denominadas colectivamente IDEsaster, reveladas recientemente por el investigador de seguridad Ari Marzouk. Los problemas surgen al agregar funcionalidad de agente a un entorno de desarrollo integrado (IDE), lo que crea nuevos riesgos de seguridad.
Estos ataques aprovechan las inyecciones instantáneas contra los agentes de inteligencia artificial (IA) integrados en los IDE y los combinan con la capa base del IDE para dar como resultado la divulgación de información o la ejecución de comandos.
“Esto utiliza una cadena de ataque 'antigua' que utiliza una herramienta vulnerable, por lo que no es exactamente parte de la nueva cadena de ataque de IDEsaster”, dijo a The Hacker News Marzouk, a quien se le atribuye haber descubierto y reportado la falla. “Específicamente, es una herramienta vulnerable de 'ejecutar comando' que le permite eludir la lista de permitidos configurada por el usuario”.
Marzouk también dijo que varios IDE eran vulnerables al mismo ataque, incluidos Kiro.dev, Cursor (CVE-2025-54131), JetBrains Junie (CVE-2025-59458), Gemini CLI, Windsurf y Roo Code (CVE-2025-54377, CVE-2025-57771 y CVE-2025-65946). Además, se descubrió que GitHub Copilot para Visual Studio Code era vulnerable a la vulnerabilidad, aunque en este caso Microsoft le asignó un nivel de gravedad Medio sin CVE.
“La vulnerabilidad establece que es posible lograr la ejecución de código en los hosts afectados engañando al LLM para que ejecute comandos que salten las barreras de seguridad y agregue instrucciones en la configuración de aprobación automática del usuario”, dijo Kev Breen, director senior de investigación de amenazas cibernéticas en Immersive.
“Esto se puede lograr mediante la 'inyección cruzada de mensajes', donde el mensaje no es modificado por el usuario sino por los agentes de LLM a medida que crean sus propios mensajes basados en el contenido de los archivos o datos recuperados de un servidor Model Context Protocol (MCP), que se está volviendo cada vez más popular en los LLM basados en agentes”.
Parches de software de otros proveedores
Además de Microsoft, otros proveedores también han lanzado actualizaciones de seguridad en las últimas semanas para abordar varias vulnerabilidades, entre ellas:
- Adobe
- Servicios web de Amazon
- AMD
- brazo
- ASUS
- Atlassiano
- Bosco
- Broadcom (incluido VMware)
- canon
- cisco
- citrix
- CODESYS
- Dell
- Descentralizaciones
- drupal
- Q5
- Fortinet
- Fortra
- GitLab
- Google Android y Píxel
- Google Chrome
- Nube de Google
- Reloj Google Pixel
- Energía Hitachi
- PD
- HP Enterprise (incluidos Aruba Networking y Juniper Networks)
- IBM
- Tecnologías de la imaginación
- Intel
- Ivanti
- lenovo
- Distribuciones de Linux AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE y Ubuntu
- MediaTek
- Mitsubishi Electrico
- MongoDB
- moxa
- Mozilla Firefox y Firefox ESR
- Nvidia
- OPPO
- software de progreso
- Qualcomm
- Reaccionar
- Automatización Rockwell
- Samsung
- JUGO
- Electricidad Schneider
- siemens
- Vientos solares
- Splunk
- Sinología
- Enlace TP
- GuardiaGuardia
- Zoom y
- Zyxel
About The Author
