En su ya tradicional Patch Tuesday, Microsoft lanzó este 14 de mayo de 2025 actualizaciones de seguridad que abordan 72 vulnerabilidades, incluyendo cinco zero-days activamente explotadas y dos vulnerabilidades zero-day divulgadas públicamente. De estas, seis fueron clasificadas como críticas, principalmente por permitir ejecución remota de código o divulgación de información sensible.
Zero-days explotados activamente
Cinco de las vulnerabilidades corregidas ya estaban siendo utilizadas en ataques en el mundo real antes de que existiera un parche oficial:
- CVE-2025-30400 – Microsoft DWM Core Library (EoP)
Vulnerabilidad de tipo “use after free” que permite a un atacante con acceso local elevar privilegios a SYSTEM. - CVE-2025-32701 – Windows Common Log File System Driver (EoP)
Otro “use after free” que también permite elevar privilegios a SYSTEM. - CVE-2025-32706 – Windows Common Log File System Driver (EoP)
Falla por validación incorrecta de entradas que da lugar a escalamiento local de privilegios. - CVE-2025-32709 – Windows Ancillary Function Driver for WinSock (EoP)
Vulnerabilidad similar de tipo “use after free”, también explotada para obtener privilegios SYSTEM. - CVE-2025-30397 – Scripting Engine (RCE)
Falla de corrupción de memoria que puede ser explotada de manera remota al inducir al usuario a visitar un enlace malicioso en Edge o Internet Explorer.
Zero-days divulgados públicamente
Microsoft también corrigió dos vulnerabilidades que habían sido reveladas públicamente, aunque no se tiene evidencia de explotación activa:
- CVE-2025-26685 – Microsoft Defender for Identity (Spoofing)
Permite a un atacante en red local suplantar cuentas mediante autenticación incorrecta. - CVE-2025-32702 – Visual Studio (RCE)
Permite ejecución de código local a través de inyección de comandos en Visual Studio.
Vulnerabilidades por tipo
- 28 vulnerabilidades de ejecución remota de código (RCE)
- 17 de elevación de privilegios
- 15 de divulgación de información
- 7 de denegación de servicio (DoS)
- 2 de omisión de funciones de seguridad
- 2 de suplantación (spoofing)
Nota: Este conteo no incluye vulnerabilidades corregidas anteriormente en Azure, Microsoft Edge, Dataverse o Mariner.
Productos afectados
Además de Windows, las actualizaciones afectan a múltiples componentes y productos, incluyendo:
- Microsoft Office, Excel, Outlook y SharePoint
- Microsoft Defender for Endpoint e Identity
- Remote Desktop Services
- Visual Studio y Visual Studio Code
- Azure (Automation, File Sync, DevOps, Storage Resource Provider)
- Microsoft Dataverse, Power Apps, PC Manager
- Windows Hyper-V, Kernel, NTFS, SMB, Media, LDAP, Installer, VMBus
- Scripting Engine y DWM Core Library
¿Por qué importa?
El alto volumen de vulnerabilidades críticas, especialmente aquellas explotadas activamente, demuestra que los atacantes siguen enfocándose en obtener privilegios elevados en sistemas Windows mediante fallas locales en controladores del sistema. La presencia de múltiples “use after free” sugiere un patrón en el tipo de errores aprovechados por actores avanzados.
Por su parte, las vulnerabilidades en productos como Defender for Identity y Visual Studio resaltan riesgos más amplios, incluyendo el compromiso de entornos de desarrollo y defensas internas.
Recomendaciones
- Priorizar la instalación inmediata de las actualizaciones de mayo, especialmente en estaciones de trabajo y servidores con exposición pública o con usuarios con privilegios elevados.
- Monitorear actividad sospechosa local, como escaladas de privilegios o ejecución de procesos no autorizados.
- Si tu organización usa Defender for Identity o Visual Studio, evaluar riesgos adicionales de suplantación o ejecución de código.
