Schedule a Strategy Call

Microsoft corrige 63 vulnerabilidades, incluyendo un fallo zero day en el kernel de Windows bajo ataque activo

Importante Vulnerabilidad de Microsoft Outlook Expuesta: Se Facilita la Explotación de RCE

Microsoft ha publicado sus actualizaciones de seguridad del martes (“Patch Tuesday”) de noviembre 2025, en las que corrige 63 nuevas vulnerabilidades en su software. De ellas, 4 se clasifican como críticas y 59 como importantes.

De los 63 fallos, se identificaron: 29 vulnerabilidades de escalada de privilegios, 16 de ejecución remota de código (RCE), 11 de divulgación de información, 3 de denegación de servicio (DoS), 2 de omisión de funciones de seguridad y 2 de suplantación.

El fallo más destacado es el CVE‑2025‑62215 (puntaje CVSS 7.0), un fallo de escalada de privilegios locales en el Kernel de Windows, que ya está siendo explotado en entornos reales.

¿Cómo funciona esa vulnerabilidad zero-day?

CVE-2025-62215 reside en el Kernel de Windows y está provocada por una condición de carrera (‘race condition’) en el uso de un recurso compartido sin sincronización adecuada. Microsoft describe: “Concurrent execution using shared resource with improper synchronization … allows an authorized attacker to elevate privileges locally.”

En la práctica, un atacante que ya tenga un punto de acceso local (usario no privilegiado) puede ejecutar una aplicación especialmente diseñada que intente repetidamente activar esa condición de carrera, corrompiendo el heap del Kernel (double-free) y logrando sobrescritura de memoria para redirigir el flujo de ejecución.

Aunque la explotación requiere que el atacante ya tenga algún control del sistema (acceso local), en combinación con otro fallo de acceso remoto o phishing esa vulnerabilidad puede transformarse en compromiso completo del sistema.

vulnerabilidades clave
  • CVE‑2025‑60724: Desbordamiento de búfer basado en heap en el componente gráfico de Microsoft, con CVSS 9.8, que permite ejecución remota de código.
  • CVE‑2025‑62220: Vulnerabilidad en Windows Subsystem for Linux GUI, con CVSS 8.8, también explotable para ejecución de código remoto.
  • CVE‑2025‑60704: Fallo de escalada de privilegios en Kerberos de Windows (CVSS 7.5) que permite a un atacante interceptar comunicaciones (“adversary-in-the-middle”) y suplantar usuarios arbitrarios en un dominio Active Directory.
¿Por qué esto es crítico para tu organización?
  • Las vulnerabilidades abarcan kernel, gráficos, subsistemas de Linux en Windows y autenticación de dominio, lo que cubre de facto casi toda la plataforma de Windows.
  • El fallo ya explotado (CVE-2025-62215) reduce la ventana de reacción: los atacantes ya pueden estar aprovechándolo.
  • La combinación de ejecución remota de código + escalada de privilegios permite una trayectoria de ataque completa: acceso remoto > escalada > persistencia > exfiltración o ransomware.
  • Si tu empresa depende de Windows (es probable), estos parches no pueden esperar: cada día que no los aplicas incrementa el riesgo de que un exploit genérico te alcance.
Recomendaciones
  1. Parche inmediato:
  • Verifica que todos los sistemas Windows (servidores, estaciones de trabajo, dispositivos de infraestructura) que dependen del ecosistema de Microsoft estén actualizados con las versiones más recientes de noviembre 2025.
  • Asegúrate de que los hubs de gestión (SCCM, Intune, WSUS) distribuyan las actualizaciones sin demora.
  1. Mitigaciones complementarias:
  • Considera aplicar reglas de política de control de aplicaciones (AppLocker, WDAC) mientras el parche se despliega para limitar la ejecución de aplicaciones no autorizadas.
  • En el caso de servicios críticos, aplaza la entrada de usuarios no administrativos hasta que el parche se haya aplicado y validado.
  1. Detección y respuesta:
  • Monitorea actividades de escalada de privilegios locales: procesos inesperados que elevan sesión a SYSTEM o que realizan llamadas al Kernel poco comunes.
  • Alerta por procesos gráficos o subsistema WSL que cargan ejecutables desconocidos o realizan comunicaciones de red fuera del patrón.
  • Realiza auditorías de Kerberos/AD para detectar uso anómalo de delegación o suplantación de identidad (actividad relacionada con CVE-2025-60704).
  1. Buenas prácticas:
  • Segmentar red para que estaciones de trabajo tengan acceso limitado a sistemas críticos mientras se aplica parche.
  • Ejecutar escaneos de vulnerabilidad en todos los activos para confirmar que no haya versiones vulnerables sin parche.
  • Realizar simulacros de incidentes basados en exploits del tipo “kernel escalation + domain compromise” para estar preparado.
Conclusión

La actualización de Microsoft de noviembre 2025 es de alto impacto: 63 vulnerabilidades variadas que afectan múltiples componentes fundamentales de Windows. El hecho de que ya haya un fallo en kernel explotado en entornos reales convierte la situación en una prioridad máxima para cualquier organización que utilice Windows. No basta con “programar” el parche: hay que ejecutarlo inmediatamente, acompañarlo de mitigaciones, monitoreo y respuesta activa.

Back to all Post

Related Post